Bundesamt für Sicherheit in der Informationstechnik

BSI veröffentlicht Schwachstellenampel

Neuer Indikator der aktuellen IT-Sicherheitslage in Deutschland / Analyse und Bewertung von Schwachstellen in gängigen Softwareprodukten

Ort Bonn
Datum 02.03.2012

Mit der Schwachstellenampel bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein neues Angebot im Rahmen seiner Informationsdienste zur Cyber-Sicherheit. Die Schwachstellenampel ist ein Indikator, der die aktuelle IT-Sicherheitslage in Bezug auf Schwachstellen in ausgewählter, gängiger Standardsoftware verdeutlicht. Aufgrund des hohen Verbreitungsgrades dieser Software in Unternehmen, Behörden, Institutionen und bei Privatanwendern kann die Ausnutzung von darin enthaltenen Sicherheitslücken unter Umständen schwerwiegende und flächendeckende IT-Sicherheitsvorfälle nach sich ziehen.

Diese Sicherheitslücken werden in der Schwachstellenampel statistisch erfasst und vom BSI aufbereitet. Die Bewertung basiert auf Anzahl und Schweregrad der Schwachstellen, die das jeweilige Produkt aktuell enthält. Die drei Ampelfarben rot, gelb und grün spiegeln dabei den Schweregrad aller offenen Sicherheitslücken für das betroffene Produkt wider. Dabei wird unterschieden zwischen "geringfügig kritischen" und "kritischen" Schwachstellen. Ziel des BSI ist es, Anwendern mit der Schwachstellenampel eine leicht verständliche und schnell zu erfassende Übersicht über aktuelle Lücken in gängigen Softwareprodukten zu bieten und so auf möglichen Handlungsbedarf aufmerksam zu machen.

Klare Kriterien, einfache Darstellung

Zur Beurteilung der Schwachstellen stützt sich die Ampel auf das Common Vulnerability Scoring System (CVSS v2). Bei diesem offenen System handelt es sich um einen Industriestandard, der den Schweregrad von Sicherheitslücken aus verschiedenen Perspektiven betrachtet. Im Bewertungsschema des BSI zeigt die Schwachstellenampel

  • rot, wenn das Produkt eine beliebige Anzahl von offenen Schwachstellen mit mindestens einer "kritischen" Schwachstelle aufweist
  • gelb, wenn das Produkt eine beliebige Anzahl von "geringfügig kritischen" offenen Schwachstellen aufweist, gleichzeitig jedoch keine "kritische" offene Schwachstelle enthält
  • grün, wenn das Produkt weder "kritische" noch "geringfügig kritische" offene Schwachstellen aufweist.

Regelmäßige Aktualisierung

Für die Schwachstellenampel werden derzeit Sicherheitslücken in Produkten der folgenden Hersteller berücksichtigt:

  • Adobe Systems mit den Produkten Adobe Reader, Adobe Acrobat und Adobe Flash Player
  • Apple Inc. mit den Produkten Mac OS X, Safari und Quicktime
  • Google Inc. mit dem Produkt Google Chrome
  • der Linux-Kernel
  • Microsoft Corporation mit den Produkten Microsoft Windows, Microsoft Office und Microsoft Internet Explorer
  • Mozilla Foundation mit den Produkten Mozilla Firefox und Mozilla Thunderbird
  • Oracle Corporation mit den Produkten Java Development Kit (JDK) und Java Runtime Environment (JRE)

Die Schwachstellenampel wird regelmäßig aktualisiert. Die Termine orientieren sich dabei hauptsächlich an den "Patchdays" der Hersteller, berücksichtigt werden jedoch auch Aktualisierungen bei neuen Schwachstellenmeldungen und außerplanmäßig veröffentlichten Patches.
Die Schwachstellenampel ist hier abrufbar.
Weitere Informationen sowie eine ausführliche Dokumentation zu den Bewertungskriterien hat das BSI in der Reihe "BSI-Veröffentlichungen zur Cyber-Sicherheit" unter den Titeln "Lebenszyklus einer Schwachstelle" und "Schwachstellenampel – Produktsicherheit auf einen Blick" veröffentlicht. Diese Dokumente stehen auf den Internetseiten der Allianz für Cyber-Sicherheit zum Download zur Verfügung.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de