BSI Schwachstellenampel – ein Kommentar

In diesem Artikel schreibe ich einen Kommentar zur BSI Schwachstelleampel, mit der das BSI den Aspekt der IT-Sicherheit bei gängigen Softwareprodukten bewertet. Wer mitdiskutieren will ist gerne eingeladen.

 

Ich habe über den folgenden Post über die Schachstellampel des BSI für bestimmte Softwareprodukte und Softwarehersteller gefunden:

http://softwarequalitaet.wordpress.com/2012/04/29/die-bsi-schwachstellenampel-fur-mangel-in-softwareprodukten/

Was ist die Schwachstellenampel

Die Schwachstellenampel ist ein Indikator, der die aktuelle Sicherheitslage in Bezug auf Sicherheitslücken in gängigen Software-Produkten verdeutlicht. Aufgrund des hohen Verbreitungsgrades dieser Produkte kann die Ausnutzung von Sicherheitslücken in diesen Produkten unter Umständen schwerwiegende und flächendeckende IT-Sicherheitsvorfälle nach sich ziehen.

Quelle: https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Gefaerdungslage/Schwachstellenampel/cs_schwachstellenampel_node.html

Die Bewertungsmetriken findet man unter: https://www.bsi.bund.de/ContentBSI/Themen/Cyber-Sicherheit/Analysen/Statistiken/BSIa003.html

Mein Kommentar

Die Übersicht „Derzeit noch nicht zuzuordnende Schwachstellen“ mit den entsprechenden Ampeln finde ich ein bischen irreführend.

Langfristige Betrachtung

Fraglich ist nur der Nutzen, da ja die Ampel öfter einmal umspringt. Als Unternehmen oder Verwaltung kann ich nicht einfach mal meine IT-Architektur (statischer Teil = Anwendungsarchitektur) ändern, wenn die Ampel einmal umspringt. Hier wäre eine langfristige Betrachtung der Produkte sinnvoll, um zu sehen bei welchem Hersteller/Produkt wie oft die Ampel auf rot ist. Dann könnte man sich überlegen, ob es aus Sicht der Security-Strategie Sinn macht zu wechseln.

Zero-Day-Lücken einbeziehen

Weiterhin werden hier nicht alle Zero-Day-Lücken betrachtet (diese sind ja nicht bekannt). Gerade diese können durch Angreifer mit hohem Schaden ausgenutzt werden, da das Opfer gar nichts weiß und so nicht reagieren kann.

der richtige Weg

Ich denke das Kriterium IT-Sicherheitsbetrachtung bei den IT-Produkten sollte beim Softwaretest von Computerzeitschriften als eigenes Bewertungsmerkmal (mit entsprechender Gewichtung) Einzug halten. Ich halte es für ein sinnvolles System, um den Anwendern eine Hilfestellung zu geben, mit welcher Software sie arbeiten wollen bzw. was sie sich auf den PC laden. Nicht alles was schön aussieht und schnell (Performance, Belastung) ist, ist gut. Ein wichtiger Aspekt ist auch die IT-Sicherheit, die Bewertet werden sollte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert