Eine internationale Expertengruppe unter Beteiligung von über 30 Organisationen hat sich auf eine Liste der 25 gefährlichsten Programmierfehler geeinigt und unter Führung des SANS Institute und der Non-Profit-Organisation MITRE veröffentlicht. Diese Fehler führen zu Sicherheitslücken, die von Cyberkriminellen und zur Cyberspionage missbraucht werden können. Mit der Liste der "Top 25 Most Dangerous Programming Errors" wird diesem Problem der Kampf angesagt.
Die Tragweite einiger gängiger Programmierfehler ist enorm. So wurden laut SANS im Jahr 2008 allein aufgrund von zwei Fehlern auf der Liste mehr als 1,5 Millionen Webseiten kompromittiert - wodurch in weiterer Folge die Computer ahnungsloser Besucher dieser Seiten zu Zombie-PCs gemacht wurden.
Die Einigung darauf, welche Programmierfehler aus den drei Bereichen unsichere Interaktion zwischen Komponenten, riskante Ressourcenverwaltung und durchlässige Sicherheitsvorkehrungen auf die Top-25-Liste kommen, erfolgte laut SANS sehr schnell. SANS-Direktor Mason Brown ortet daher einen breiten Konsens bezüglich der größten Risiken.
Gezielte Ausbildung von Programmierern
Jetzt soll den Fehlern tatsächlich zu Leibe gerückt werden. "Zunächst müssen wir sicherstellen, dass jeder Programmierer weiß, wie er Code frei von den Top-25-Fehlern gestaltet", sagt Brown. Außerdem sollen geeignete Werkzeuge Entwicklern helfen, Probleme zu finden und auszubessern. Kristensen betont dabei den Wert der Top-25-Liste als Arbeitsgrundlage. "Egal, wie groß das Unternehmen ist und wie viele Ressourcen zur Verfügung stehen. Das ist es, wo man als Erstes ansetzen muss." Der Sicherheitsexperte sieht dabei gerade eine entsprechende Ausbildung der Programmierer als Eckpfeiler im Kampf gegen Sicherheitslücken.
Das SANS ist der Ansicht, dass die Liste dazu führen könnte, dass Kunden nach Software verlangen, die als frei von den 25 Fehlern zertifiziert ist. Grundsätzlich hält Kristensen entsprechende Zertifizierungen für eine gute Idee. Allerdings warnt er davor, einer nachträglichen Prüfung zu hohen Stellenwert zu geben. "Kein Audit eines Programms wird je 100-prozentig genau sein", so der Sichrheitsexperte. Softwareunternehmen sollten sich also keinesfalls einfach auf nachträgliche Prüfungen verlassen. "Sicherheit muss bereits Teil des Design- und Entwicklungsprozesses sein", mahnt Kristensen abschließend. (pte)/(bw)