Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

Schwachstellenvorhersage

Sind die Betriebssysteme, Dienste und ihre Versionen identifiziert, lassen sich durch einen Vergleich mit der CVE-Datenbank 1 die potenziellen Schwachstellen ermitteln. Eine solche Vorhersage zeigt mögliche Schwachstellen auf. Diese müssen nicht zwingend tatsächlich vorhanden sein und sich ausnutzen lassen. Über die effektive Bedrohung gäben erst Security Scans Auskunft; solche wurden aber für diesen Bericht aus rechtlichen Gründen nicht durchgeführt.

Mit der Schwachstellenvorhersage decken wir ein Potenzial von über 17 Millionen Schwachstellen auf. Übertragen auf die identifizierten Systeme bedeutet dies: Im Durchschnitt gibt es im Schweizer Internet über 25 OS-Schwachstellen pro aktives System und 5.5 pro aktiven Dienst. Die Bedeutung der Schwachstellen kann von klein bis hin zu kritisch reichen. Kritische Schwachstellen entsprechen dem CVSS-Wert 2 von 10. Dies ist der maximal mögliche und bei unseren Untersuchungen auch sehr oft entdeckte Wert. Wir stellen fest, dass in den letzten Jahren die Schwachstellen in den Betriebssysteme abnehmend und bei den Produkten zunehmend sind.

Unsere Inventarisierung ermittelte über 9’800 verschiedene Produkte, die über IP-Adressen ansprechbar sind. Diese verglichen wir mit der CVE-Datenbank, die über 65’000 Schwachstellen kennt.


Security-Finder Schweiz: Newsletter