"Wir sind immer wieder überrascht, welche großen Unternehmen wirklich grundlegende Fehler machen", meint Thomas Kristensen, CTO beim an der Expertengruppe beteiligten IT-Sicherheitsunternehmen Secunia. Mit der Liste der "Top 25 Most Dangerous Programming Errors" wird diesem Problem der Kampf angesagt. Das SANS Institut hat diese Liste auf seiner Website veröffentlicht.
So wurden laut SANS im Jahr 2008 allein aufgrund von zwei Fehlern auf der Liste mehr als 1,5 Mio. Webseiten kompromittiert und dadurch Millionen weitere PCs argloser Surfer zu Zombie-Rechnern umfunktioniert. Die Einigung darauf, welche Programmierfehler aus den drei Bereichen unsichere Interaktion zwischen Komponenten, riskante Ressourcenverwaltung und durchlässige Sicherheitsvorkehrungen auf die Top-25-Liste kommen, nahm nach Angaben der SANS nur wenig Zeit in Anspruch.
Jetzt soll den Fehlern tatsächlich zu Leibe gerückt werden. Geeignete Werkzeuge sollen den Entwicklern helfen, Probleme zu finden und auszubessern. Kristensen betont dabei den Wert der Top-25-Liste als Arbeitsgrundlage. "Egal, wie groß das Unternehmen ist und wie viele Ressourcen zur Verfügung stehen. Das ist es, wo man als Erstes ansetzen muss." Der Sicherheitsexperte sieht dabei gerade eine entsprechende Ausbildung der Programmierer als Eckpfeiler im Kampf gegen Sicherheitslücken.
