Software-Lücken bleiben oft ein Jahr ungesichert

Im Durchschnitt dauert es laut Immunity 348 Tage, bis eine Sicherheitslücke veröffentlicht oder vom Software-Hersteller geflickt wird. Frühestens werden sie nach 99 Tagen entdeckt beziehungsweise gepatcht.

Die Lecks können aber auch viel langlebiger sein, wie Sicherheitsexperten beobachteten. Es kam schon vor, dass sie über einen Zeitraum von 1.080 Tagen nicht aufgestöbert wurden und unbehandelt blieben.

Zero-Day-Bugs sind unveröffentlichte Software-Schwachstellen, die von Hackern missbraucht werden können. Sie nutzen die Lücken aus, um in Firmensysteme einzubrechen und dort Daten zu stehlen oder zu verändern.

Das Geschäft mit den Fehlern

Gegen die Bedrohung ist kaum ein Software-Hersteller gefeilt. Ist einmal eine Sicherheitslücke aufgetan, kommen die Angriffe in groß angelegten Aktionen zum Einsatz (Zero-Day-Attack). Dementsprechend floriert das Geschäft mit Zero-Day-Bugs. Um die Zeitspanne zwischen Entdeckung und Schließen der Lücke möglichst klein zu halten, setzen Hersteller Prämien für gefundene Schwachstellen aus.