05. Mär. 2012

BSI veröffentlicht Schwachstellenampel


Mit seiner Schwachstellenampel bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein neues Angebot im Rahmen seiner Informationsdienste zur Cyber-Sicherheit: Die Schwachstellenampel ist ein Indikator, der die aktuelle IT-Sicherheitslage in Bezug auf Schwachstellen in ausgewählter, gängiger Standardsoftware verdeutlicht. Aufgrund des hohen Verbreitungsgrades dieser Software in Unternehmen, Behörden, Institutionen und bei Privatanwendern könnten darin enthaltene Sicherheitslücken unter Umständen schwerwiegende und flächendeckende IT-Sicherheitsvorfälle nach sich ziehen, begründete das BSI die Auswahl.

Die Bewertung bekannt gewordener Schwachstellen basiere auf deren Anzahl und Schweregrad für das jeweilige Produkt. Dabei unterscheidet das BSI zwischen "geringfügig kritischen" und "kritischen" Schwachstellen – Grundlage sei das Common Vulnerability Scoring System (CVSS v2) und seine Betrachtungsweise des Schweregrads von Sicherheitslücken aus verschiedenen Perspektiven. Im Bewertungsschema des BSI zeigt die Schwachstellenampel

  • rot, wenn das Produkt eine beliebige Anzahl von offenen Schwachstellen mit mindestens einer "kritischen" Schwachstelle aufweist,
  • gelb, wenn das Produkt eine beliebige Anzahl von "geringfügig kritischen" offenen Schwachstellen (jedoch keine "kritische") offene Schwachstelle enthält,
  • grün, wenn das Produkt weder "kritische" noch "geringfügig kritische" offene Schwachstellen aufweist.

Für die Schwachstellenampel berücksichtigt das BSI derzeit Sicherheitslücken in den folgenden Produkten:

  • Adobe Reader, Adobe Acrobat und Adobe Flash Player von Adobe Systems,
  • Mac OS X, Safari und Quicktime von Apple Inc.,
  • Google Chrome,
  • den Linux-Kernel,
  • Microsoft Windows, Office und Internet Explorer,
  • Mozilla Firefox und Thunderbird sowie
  • das Java Development Kit (JDK) und die Java Runtime Environment (JRE) der Oracle Corporation.

Die Schwachstellenampel wird regelmäßig aktualisiert – die Termine orientieren sich dabei laut BSI hauptsächlich an den "Patchdays" der Hersteller, berücksichtigten jedoch auch Aktualisierungen bei neuen Schwachstellenmeldungen und außerplanmäßig veröffentlichten Security-Updates. Die Schwachstellenampel ist über https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Gefaerdungslage/Schwachstellenampel/cs_schwachstellenampel_node.html abrufbar – weitere Informationen sowie eine ausführliche Dokumentation zu den Bewertungskriterien hat das Amt in der Reihe "BSI-Analysen zur Cyber-Sicherheit" unter den Titeln "Lebenszyklus einer Schwachstelle" und "Schwachstellenampel – Produktsicherheit auf einen Blick" veröffentlicht.