Vulnerability (Schwachstelle)
Ein Fehler, Designmangel oder Fehlkonfiguration in Software, Hardware oder einem IT-System, der von Angreifern ausgenutzt werden kann, um unbefugten Zugriff zu erlangen oder Schaden anzurichten.
Eine Vulnerability (deutsch: Schwachstelle oder Sicherheitslücke) ist ein Fehler, Designmangel, Konfigurationsfehler oder eine Schwäche in einem IT-System, einer Anwendung oder einem Prozess, der es einem Angreifer ermöglicht, unbefugten Zugriff zu erlangen, Daten zu stehlen, Systeme zu beschädigen oder andere unerwünschte Aktionen durchzuführen.
Das Vulnerability-Dreieck
Eine Schwachstelle allein ist noch keine unmittelbare Gefahr. Erst wenn drei Faktoren zusammentreffen, entsteht ein Risiko:
Vulnerability (Schwachstelle vorhanden)
+
Threat Actor (Angreifer mit Motiv und Fähigkeiten)
+
Exploit (Methode zur Ausnutzung)
=
SicherheitsrisikoTypen von Schwachstellen
Software-Schwachstellen:
- Buffer Overflow - zu viele Daten überschreiben Speicherbereiche
- SQL Injection - ungefilterte Benutzereingaben in Datenbankabfragen
- Cross-Site Scripting (XSS) - eingeschleuster Schadcode im Browser
- Path Traversal - Zugriff auf Dateien außerhalb des erlaubten Bereichs
- Insecure Deserialization - Manipulation serialisierter Objekte
Konfigurationsschwachstellen:
- Standard-Passwörter nicht geändert
- Unnötige Services aktiviert
- Zu weitreichende Berechtigungen
- Fehlendes Verschlüsselung
- Ungesicherte Cloud-Speicher
Designschwachstellen:
- Fehlende Authentifizierung für kritische Funktionen
- Unsichere Protokolle (HTTP statt HTTPS, Telnet statt SSH)
- Keine Segmentierung zwischen Netzwerkzonen
Verwundbarkeit vs. Exploit vs. CVE
| Begriff | Bedeutung |
|---|---|
| Vulnerability | Die Schwachstelle selbst |
| Exploit | Code/Methode zur Ausnutzung der Schwachstelle |
| CVE | Eindeutige ID der Schwachstelle (z.B. CVE-2021-44228) |
| PoC | Proof of Concept - Exploit der zeigt, dass die Schwachstelle ausnutzbar ist |
| 0-Day | Schwachstelle ohne verfügbaren Patch |
Responsible Disclosure
Wenn ein Sicherheitsforscher oder Pentester eine Schwachstelle findet, gibt es zwei Möglichkeiten:
Responsible Disclosure (Koordinierte Veröffentlichung):
- Schwachstelle privat an Hersteller melden
- Hersteller hat eine Frist (üblicherweise 90 Tage) für einen Patch
- Erst danach öffentliche Veröffentlichung
Full Disclosure: Sofortige öffentliche Veröffentlichung - kontrovers, aber manchmal notwendig wenn Hersteller nicht reagiert.
Viele Unternehmen haben Bug Bounty Programme - sie zahlen Belohnungen für verantwortungsvolle Meldungen von Schwachstellen.
Vulnerability Disclosure Policy (VDP)
Eine VDP ist die offizielle Richtlinie eines Unternehmens, wie externe Sicherheitsforscher Schwachstellen melden sollen. BSI und ENISA empfehlen VDPs als Best Practice - auch für Unternehmen ohne formelles Bug-Bounty-Programm.
CVSS-Bewertung
Schwachstellen werden mit CVSS (Common Vulnerability Scoring System) auf einer Skala von 0 bis 10 bewertet - von None (0) bis Critical (9.0-10.0). CVSS allein ist aber keine vollständige Priorisierungshilfe - der geschäftliche Kontext und die Ausnutzbarkeit (EPSS) sind ebenso wichtig.
