Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Top 10 Sicherheitslücken im Jahr 2021 - Cybersicherheit und digitaler Schutz
Compliance & Standards

Top 10 Sicherheitslücken im Jahr 2021

Auch in diesem Jahr gibt es wieder Top 10 Sicherheitslücken. Hierfür wird die Common Weakness Enumeration (CWE) verwendet.

Jan Hörnemann Jan Hörnemann Chief Operating Officer · Prokurist
Aktualisiert: 12. November 2024 2 Min. Lesezeit
ISO 27001 Lead Auditor (PECB/TÜV) T.I.S.P. (TeleTrusT) ITIL 4 (PeopleCert) BSI IT-Grundschutz-Praktiker (DGI) Ext. ISB (TÜV) BSI CyberRisikoCheck CEH (EC-Council)

TL;DR

Die CWE-Top-25-Liste 2021, gepflegt von der MITRE Corporation, identifiziert Out-of-Bounds Write als gefährlichste Schwachstelle: Angreifer schreiben außerhalb reservierter Speicherbereiche und können so Programmabstürze auslösen oder beliebigen Code ausführen. Mehrere der zehn häufigsten Lücken fallen unter „Unsachgemäße Neutralisierung" - Anwendungen filtern Nutzereingaben nicht korrekt, was XSS-, SQL-Injection- und OS-Injection-Angriffe ermöglicht. Ein einfaches `<script>alert(1);</script>` in einem ungefilterten Kontaktformular reicht aus, um eine XSS-Schwachstelle auszunutzen. Für Entwickler und IT-Verantwortliche gilt: Eingabevalidierung ist keine optionale Härtungsmaßnahme, sondern Grundvoraussetzung sicherer Software.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (3 Abschnitte)

Auch in diesem Jahr gibt es wieder Top 10 Sicherheitslücken. Hierfür wird die Common Weakness Enumeration (CWE) verwendet. Die CWE ermittelt jährlich eine Top 25 Liste, aus der wir jetzt die 10 Top Sicherheitslücken vorstellen.

Was ist CWE?

Die Common Weakness Enumeration (CWE) ist eine offene Auflistung typischer Schwachstellen in Hard- und Software. Die CWE soll eine gemeinsame Basis zur Identifizierung sicherheitsrelevanter Schwächen bilden. Eine Community pflegt die Liste und die MITRE Corporation veröffentlicht diese Liste dann. Die MITRE betreibt Forschungsinstitutionen im Auftrag der Vereinigten Staaten. Sie ist eine Non-Profit Organisation, die aus dem Massachussets Institute of Technology (MIT) hervorgegangen. Die komplette Liste und auch die Methodik der Berechnung, kann hier eingesehen werden.

Top 10 Sicherheitslücken 2021

Im Folgenden werden die Top 10 Sicherheitslücken aus dem Jahr 2021 beschrieben. Wir schauen uns einzelne CWEs im Detail an. Die Schwachstelle an der Nummer eins ist das Schreiben außerhalb eines bestimmten Bereichs. Software reserviert einen bestimmten Speicherbereich und über diesen kann ein Angreifer dann hinausschreiben. Dies führt dann meist zu unvorhergesehenem Verhalten des Programms oder der Applikation, beispielsweise zu einem Absturz oder der Beschädigung von Daten. Unter Umständen kann sogar Code ausgeführt werden.  Dies kann dann zu schweren Risiken für den Einsatz von Software führen.

Unsachgemäße Neutralisierung und Risiken

Eine ganze Batterie an Schwachstellen in der Top 10 Liste ist die “Unsachgemäße Neutralisierung”. Dies bedeutet das Eingaben durch den:die Nutzer:in nicht sachgemäß gefiltert werden durch das Programm. Dies kann beispielsweise bei einem Kontaktformular passieren, bei dem der:die Nutzer:in Eingaben machen kann. Die folgende Eingabe kann beispielsweise zu einer XSS-Schwachstelle führen, wenn Eingaben des Nutzers nicht gefiltert werden. <script>alert(1);</script> Dies funktioniert auch mit Betriebssystem-Befehlen (OS-Injection) oder mit Datenbank-Befehlen(SQL-Injection). Die Software neutralisiert in allen Fällen die vom Benutzer kontrollierbaren Eingaben nicht oder falsch, bevor sie in die Ausgabe eingefügt werden. Dies passt auch zu Platz vier. Hier empfängt die Applikation ebenfalls nicht validierte oder falsche Daten und die Daten können in Folge dessen nicht korrekt verarbeitet werden. Der Unterschied ist, dass nicht zwingend Datenbank oder Betriebssystem Zugriff erscheint, sondern beispielsweise ein Name falsch gespeichert wird oder anderweitig Daten manipuliert werden.

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung