2014 wird als das Jahr in die Geschichte eingehen, in dem die
Schwachstellen Namen bekamen. Vorher gab es bereits Namen für
Schadsoftware, aber für Schwachstellen haben die sich erst dieses Jahr
wirklich durchgesetzt. Die Schwachstelle von Welt kommt heute nicht mehr
ohne Namen aus. Jedenfalls nicht, wenn sie ernst genommen werden will.
Kennen Sie den Unterschied zwischen CVE-2014-6271 und Shellshock? Nicht?
Dabei gibt es einen ganz gewaltigen: CVE-2014-6271 hätte es nie in die
allgemeinen Medien geschafft, Shellshock ist das dagegen mit Leichtigkeit
gelungen. Dabei ist es ein und dieselbe Schwachstelle. Werbung ist eben
alles. Im Jahr 2014 auch für Schwachstellen.
Aber fangen wir vorne an. Die erste "berühmte" Schwachstelle war der im
April vorgestellte Heartbleed-Bug in OpenSSL. Aber schon davor gab es
Schwachstellen mit Namen. Jedenfalls irgendwie:
Es ist bald Weihnachten, und bis dahin ist noch einiges zu tun. Und damit
meine ich nicht die üblichen Aufgaben wie "Im letzten Moment die
Geschenke kaufen" und "Am 23.12. Lebensmittelvorräte für
die nächsten 4 Wochen einkaufen, weil die Geschäfte ja 2 Tage zu
sind", sondern einige Aufgaben rund um die IT (die natürlich auch
außerhalb der Weihnachtszeit nicht vergessen werden dürfen, aber
im allgemeinen Trubel gehen sie jetzt schnell unter):
Oh Schreck, es gibt eine 0-Day-Schwachstelle im IE. Panik!1!ELF
Das ist alles total übertrieben. Wieso? Weil es "nur" eine
0-Day-Schwachstelle
ist, es gibt bisher keinen Exploit dafür. Also: Kein Grund zur Panik.
Denn wenn Sie wegen der einen Schwachstelle schon in Panik ausbrechen, was
machen Sie denn dann wegen der womöglich zig hundert noch gar nicht
entdeckten Schwachstellen? Die könnten jederzeit entdeckt werden, und
je nachdem ob der Entdecker Sicherheitsforscher oder Cyberkrimineller ist
wird sie dann an Microsoft gemeldet oder mit einem 0-Day-Exploit
ausgenutzt. Also: Es gibt wirklich keinen Grund zur Panik!