Dem Bericht zufolge wurden 2016 ungefähr 6500 solcher Software-Schwachstellen gefunden, 2015 waren es noch 6400 gewesen. 84 Prozent dieser Sicherheitslücken können laut HPI per Remote-Zugriff, also von anderen Computern aus, ausgenutzt werden.

Laut der sogenannten CVE-Liste, die alljährlich die Anzahl von Schwachstellen in Programmen auflistet (siehe Infokasten), wies 2016 Android bei den Betriebssystemen mit Abstand die meisten Sicherheitslücken auf. 523 Schwachstellen wurden dokumentiert, fast 200 mehr als noch im Vorjahr. Apples Betriebssysteme Mac OS X und iOS belegten ebenfalls vordere Plätze mit 215 (Mac OS) und 161 (iOS) bekannten Lücken. Für Windows 10 wurden 172 Schwachstellen erfasst, Windows 8.1 (154 Lücken) und Windows 7 (134 Lücken) schnitten nur minimal besser ab.

Bei den Anwendungsprogrammen wurden vor allem bei den Produkten eines Herstellers Fehler gefunden: Die fünf unsichersten Anwendungen stammen allesamt von Adobe - Spitzenreiter ist der Flash Player mit 266 gefundenen Lücken. Bei den Browsern führt Google Chrome die Liste an, gefolgt von Microsoft Edge, Mozilla Firefox und dem Internet Explorer. Bei allen Browsern wurden weit mehr als 100 Schwachstellen festgestellt.

Das Bundesamts für Sicherheit in der Informationstechnik (BSI) weist darauf hin, dass von öffentlich bekannt gewordenen Schwachstellen "zwar grundsätzlich eine Gefährdung für den Nutzer" ausgehe, dass deren Anzahl aber "keinen einfachen Rückschluss auf die Unsicherheit der Software" zulasse. Das BSI empfiehlt grundsätzlich "stets die aktuellsten Software- oder Sicherheitsupdates zu installieren".

Neben Sicherheitslücken sind auch unsichere Passwörter potenzielle Angriffspunkte für Hacker. Das HPI hat im vergangenen Jahr in einer Analyse Passwörter von einer Milliarde Nutzerkonten untersucht, die von Hackern erbeutet worden und im Internet veröffentlicht worden waren. Aus den erhaltenen Daten hat das HPI im Anschluss eine Liste der zehn beliebtesten Passwörter in Deutschland erstellt. Aktuelle Sicherheitsstandards erfüllt keines davon. Laut HPI-Direktor Professor Christoph Meinel sei es "für kriminelle Hacker ein Leichtes, über schwache Passwörter Zugriff auf persönliche Informationen und Accounts zu bekommen." Das HPI empfiehlt daher allen Internetnutzern dringend "Passwörter nicht für mehrere Accounts zu nutzen und diese regelmäßig zu wechseln".

Das Bundesamt für Sicherheit in der Informationstechnik bietet den Bürgern auf seiner Internetseite (www.bsi-fuer-buerger.de) zahlreiche Ratschläge zum sicheren Umgang mit Passwörtern und Tipps, wie ein sicheres Passwort aussehen könnte. Auf der Webseite des HPI (sec.hpi.uni-potsdam.de/leak-checker/) können sich Nutzer informieren, ob persönliche Daten gestohlen und im Internet offengelegt wurden.

www.bsi-fuer-buerger.de

sec.hpi.uni-potsdam.de/

leak-checker

Zum Thema:

Überblick über Programm-Schwachstellen Sicherheitslücken in Computerprogrammen werden auf der CVE-Liste (Common Vulnerabilities and Exposures) gesammelt. Werden Hersteller auf eine Sicherheitslücke in ihren Programmen aufmerksam, sind sie angehalten, diese durch einen CVE-Eintrag zu dokumentieren. Allerdings halten sich nicht alle Hersteller an diese Vorgabe, wie aus dem alljährlich erscheinenden Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervorgeht. Letztlich "entscheidet jeder Hersteller selbst, ob eine Schwachstelle in die Liste eingetragen wird oder nicht", so der Bericht.