Die Komplexität von Softwareprogrammen erhöht deren Anfälligkeit für Fehler erheblich. Cristian Cadar von der Universität Stuttgart widmet sich der Herausforderung, diese Fehleranfälligkeit durch innovative Ansätze zu minimieren. Computerprogramme, selbst einfache Anwendungen, können mehrere Tausend bis Millionen von Codezeilen umfassen, was die Wahrscheinlichkeit von Fehlern steigert. Programmierfehler, auch „Bugs“ genannt, sind nicht nur ärgerlich, sondern können auch gravierende Sicherheitslücken verursachen, die es kriminellen Angreifern ermöglichen, in Computersysteme einzudringen. Ein besonders bekanntes Beispiel für eine solche Sicherheitslücke ist der Heartbleed-Bug, der 2014 auftrat.
Der Heartbleed-Bug war ein schwerwiegender Fehler in der OpenSSL-Verschlüsselungsbibliothek, die für die sichere Internetkommunikation verantwortlich ist. Ein Update dieser Software offenbarte eine Sicherheitslücke, durch die Hacker Zugriff auf Passwörter und private Daten von Millionen Nutzern erhalten konnten. Diese Vorfälle verdeutlichen die Bedeutung einer ständigen Überprüfung und Verbesserung der Software-Sicherheit. Die Universität Stuttgart verfolgt mit ihrem Ansatz das Ziel, solche sicherheitsrelevanten Fehler zu identifizieren und zu beheben, bevor sie zu einem Problem werden. Laut CSO Online hat dieser Bug eine ganze Reihe von Sicherheitskrisen ausgelöst, die bis heute nachwirken.
Die Gefahr von Programmierfehlern
Ein weiteres wichtiges Thema in der Software-Sicherheit sind die verschiedenen Typen von Programmierfehlern, die immer wieder zum Problem werden. Die MITRE Common Weakness Enumeration (CWE) hat eine Liste der 25 gefährlichsten Softwarefehler erstellt, die kürzlich aktualisiert wurde. Diese Liste basiert auf umfangreichen Praxisdaten und hilft Entwicklern und Ingenieuren, Softwarefehler besser zu verstehen und zu beheben. Die neue Methodik der CWE berücksichtigt mehr als 25.000 hoch bewertete Schwachstellen aus den Jahren 2017 und 2018, was den Experten eine objektive Maßnahme der häufigsten und schwerwiegendsten Probleme ermöglicht.
Besonders hervorzuheben ist CWE-119, die „Improper Restriction of Operations within the Bounds of a Memory Buffer“ behandelt. Dieser Fehler weist den höchsten Score von 75,56 auf und umfasst häufige speicherbezogene Programmierfehler. Dennoch bleibt auch CWE-89, die „SQL Injection“, trotz eines Rückgangs von Platz 1 (2011) auf Platz 6 (2019) nach wie vor relevant für viele Sicherheitsfragen. Die kontinuierliche Aktualisierung und Überprüfung solcher Listen, wie sie beispielsweise auf Security Insider zu finden ist, wird durch neue Herausforderungen wie den gestiegenen Bedarf an Remotezugriff und VPN-Sicherheit während der Covid-19-Pandemie stärker in den Fokus gerückt.
Die Notwendigkeit für maßgeschneiderte CWE-Ranglisten, die auf spezifische Organisationen abgestimmt sind, wird zunehmend diskutiert. Solche Ansätze könnten helfen, die Gefahren besser einzuschätzen und die Maßnahmen zur Fehlervermeidung zu optimieren. Die Herausforderungen sind immens, aber durch kontinuierliche Forschung und die Anwendung von best practices steht die Software-Entwicklung auf einem guten Weg, um in Zukunft sicherer zu werden.