7
CVEs - Eine sehr traurige Entwicklung
Moin Zusammen,
bei der jüngsten durchsicht der CVE DB ist mir neben den jüngsten Einträgen, noch eine weitere sehr traurige Tatsache aufgefallen und zwar die folgende.
Quelle:
https://www.cvedetails.com/
Sprich, im Jahr 2014 gab es in Summe 7.928 Einträge und im Jahr 2024 sind es stand heute schon 40.017 und es kommen die letzten Tage sicherlich noch ein paar mehr dazu. 😔
Das bedeutet unter dem Strich, dass wir im Jahr 2024 mehr als das fünfache an CVE Einträgen haben, als es noch 2014 der Fall war. 😭
Alleine in den letzten 30 Tagen, sind 3353 neue Einträge dazugekommen. 😱
Ähm, wie sollen wir aus diesem Schlamassel denn je wieder raus kommen?
Und wehe mir kommt jetzt einer mit KI/AI als Lösung. 🤨
Denn ich sehe das bei diesem Thema eher als Beschleuniger zum Untergang. 😔
Gruss Alex
bei der jüngsten durchsicht der CVE DB ist mir neben den jüngsten Einträgen, noch eine weitere sehr traurige Tatsache aufgefallen und zwar die folgende.
Quelle:
https://www.cvedetails.com/
Sprich, im Jahr 2014 gab es in Summe 7.928 Einträge und im Jahr 2024 sind es stand heute schon 40.017 und es kommen die letzten Tage sicherlich noch ein paar mehr dazu. 😔
Das bedeutet unter dem Strich, dass wir im Jahr 2024 mehr als das fünfache an CVE Einträgen haben, als es noch 2014 der Fall war. 😭
Alleine in den letzten 30 Tagen, sind 3353 neue Einträge dazugekommen. 😱
Ähm, wie sollen wir aus diesem Schlamassel denn je wieder raus kommen?
Und wehe mir kommt jetzt einer mit KI/AI als Lösung. 🤨
Denn ich sehe das bei diesem Thema eher als Beschleuniger zum Untergang. 😔
Gruss Alex
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670389
Url: https://administrator.de/knowledge/cves-eine-sehr-traurige-entwicklung-670389.html
Ausgedruckt am: 29.12.2024 um 00:12 Uhr
7 Kommentare
Neuester Kommentar
Moin Zusammen,
noch eine kleine Ergänzung.
Im Jahr 2015 lagen laut der Bitcom die Schäden die durch Datendiebstahl, Industriespionage oder Sabotage verursacht wurden, noch bei 55 Milliarden Euro.
Im Jahr 2019 waren es schon über 100 Milliarden Euro pro Jahr! 😔
Quelle:
https://www.bitkom.org/Presse/Presseinformation/Angriffsziel-deutsche-Wi ...
Und in diesem Jahr liegt der Schaden bereits schon bei !! 266,6 Milliarden Euro !!. 😭
Quelle:
https://www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2024
https://de.statista.com/statistik/daten/studie/444719/umfrage/schaeden-d ...
😔
Gruss Alex
noch eine kleine Ergänzung.
Im Jahr 2015 lagen laut der Bitcom die Schäden die durch Datendiebstahl, Industriespionage oder Sabotage verursacht wurden, noch bei 55 Milliarden Euro.
Im Jahr 2019 waren es schon über 100 Milliarden Euro pro Jahr! 😔
Quelle:
https://www.bitkom.org/Presse/Presseinformation/Angriffsziel-deutsche-Wi ...
Und in diesem Jahr liegt der Schaden bereits schon bei !! 266,6 Milliarden Euro !!. 😭
Quelle:
https://www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2024
https://de.statista.com/statistik/daten/studie/444719/umfrage/schaeden-d ...
😔
Gruss Alex
Moin...
ein auszug zu:
Sicherheit ist ein konzept, das kannst du nicht pauschalisieren!
Das die Bedrohung Nr.1 im Unternehmen nicht mehr der kleine Hacker in Hamburg ist, sondern die eigenen Mitarbeiter, wissen wir auch schon seit über 10 Jahren... da sollte es mehr richtige und günstige Hilfestellung geben, aber nicht immer von einer Agentur, die pro 10 User 10K haben will im Jahr....
solange es Software gibt, gibbet da auch fehler...
Natürlich lkannst du deine Sophos und Cisco, PA, Juniper etc.. vorne im WAN abschließen, nutzt aber nix, wenn sich dein halbes Netzwerk selbständig macht, mit nem Tunnel über port 80 oder 443.
also sei froh das dein Job in Zukunft gesichert ist, die Industrie sorgt schon dafür!
ich jedenfall sage **DANKE für die hervorragenden umsätze, die uns damit beschert werden
Frank
Und in diesem Jahr liegt der Schaden bereits schon bei !! 266,6 Milliarden Euro !!. 😭
na da ist doch bestimmt der eine oder andere euro schöngerechnet...ein auszug zu:
Auch deshalb fordern praktisch alle Unternehmen eine engere Zusammenarbeit mit Staat und Behörden. So sind 96 Prozent der Meinung, dass der Informationsaustausch zu IT-Sicherheitsthemen zwischen Staat und Wirtschaft verbessert werden sollte.
au prima.... da wird doch bestimmt ein sinnfreies Gesetz entworfen, irgendwelche Pappnasen erstellen Untersuchungen, die mindestens sechstellig kosten, die wirtschaft bekommt noch mehr steine in den weg gelegt, für sachen, die seit mehr als 10 Jahren bekannt sind!Sicherheit ist ein konzept, das kannst du nicht pauschalisieren!
Das die Bedrohung Nr.1 im Unternehmen nicht mehr der kleine Hacker in Hamburg ist, sondern die eigenen Mitarbeiter, wissen wir auch schon seit über 10 Jahren... da sollte es mehr richtige und günstige Hilfestellung geben, aber nicht immer von einer Agentur, die pro 10 User 10K haben will im Jahr....
Ähm, wie sollen wir aus diesem Schlamassel denn je wieder raus kommen?
na einfach unseren Job machen, dazu sind wir da!solange es Software gibt, gibbet da auch fehler...
Alleine in den letzten 30 Tagen, sind 3353 neue Einträge dazugekommen.
das wundert mich echt nicht, schau doch mal was alleine zwischen 2019 und 2014 an geräten auf den markt gekommen ist? Hans und Franz kauft billige Consumer Ware aus China, die schon alt ist, bevor sie im Container nach Europa kommt! Software Pflege... frag erst nicht... aber die Cam... das Radio, NAS, Consolen und 3D Drucker etc... ist schnell ins Netzwerk gestellt, ohne nachzudenken... alleine 3D Drucker, die einen online zugang nach China brauchen, finde ich in vielen Firmen.Natürlich lkannst du deine Sophos und Cisco, PA, Juniper etc.. vorne im WAN abschließen, nutzt aber nix, wenn sich dein halbes Netzwerk selbständig macht, mit nem Tunnel über port 80 oder 443.
also sei froh das dein Job in Zukunft gesichert ist, die Industrie sorgt schon dafür!
ich jedenfall sage **DANKE für die hervorragenden umsätze, die uns damit beschert werden
Frank
Sers @MysticFoxDE,
lass es andersrum betrachten:
Sicherheitslücken werden von den (Software-)Herstellern weniger oft totgeschwiegen und transparenter an ihre Kunden kommuniziert. Andernfalls wären die Schäden um ein vielfaches größer.
Wird ein CVE von 9.8 in einem Patch aufgelistet, dann wirst du (hoffentlich) anders reagieren, als wenn nur "optische Verbesserungen" dabei sind.
Spannend wird auf meiner Sicht die Zunahme der CVE Meldungen in Bezug auf die neue Produkthaftungs-Richtlinie (EU) 2024/2863 der EU.
Die mMn einzige negative Entwicklung ist die Überhäufung der Entwickler und Datenbanken durch per KI gefundene und nicht durch den Entdecker verifizierte Verwundbarkeitsmeldungen. Das schadet dann tatsächlich.
Grüße,
Philip
lass es andersrum betrachten:
Sicherheitslücken werden von den (Software-)Herstellern weniger oft totgeschwiegen und transparenter an ihre Kunden kommuniziert. Andernfalls wären die Schäden um ein vielfaches größer.
Wird ein CVE von 9.8 in einem Patch aufgelistet, dann wirst du (hoffentlich) anders reagieren, als wenn nur "optische Verbesserungen" dabei sind.
Spannend wird auf meiner Sicht die Zunahme der CVE Meldungen in Bezug auf die neue Produkthaftungs-Richtlinie (EU) 2024/2863 der EU.
Die mMn einzige negative Entwicklung ist die Überhäufung der Entwickler und Datenbanken durch per KI gefundene und nicht durch den Entdecker verifizierte Verwundbarkeitsmeldungen. Das schadet dann tatsächlich.
Grüße,
Philip
4
Moin...
oh ja.. da bin ich auch gespannt.
Frank
Spannend wird auf meiner Sicht die Zunahme der CVE Meldungen in Bezug auf die neue Produkthaftungs-Richtlinie (EU) 2024/2863 der EU.
oh ja.. da bin ich auch gespannt.
Frank
1
Hmm - und du hast ggf. mal die Zusammenhänge angeschaut - u.A. das die SW heute idR. sehr viel schneller entwickelt werden muss, das immer mehr "verteilt" entwickelt wird und sich da natürlich die Menschen nicht mal mehr sehen (und durch unterschiedliche Bildungsniveaus, Kulturen,... wird das nicht besser....).
Und was heisst "KI ist da keine Lösung"? Natürlich ist auch KI ein zusaetzlicher weg - denn damit kannst du zum einen natürlich schon die Qualitaet etwas verbessern (wenns richtig gemacht wurde), Tests automatisiert durchführen lassen und auch noch die Codequalitaet überwachen... Es ist natürlich nicht _NUR_ eine KI, wenn du aber eben diese Tools automatisch ablehnst verlierst du ne ganze menge Hilfsmittel.
Und was heisst "KI ist da keine Lösung"? Natürlich ist auch KI ein zusaetzlicher weg - denn damit kannst du zum einen natürlich schon die Qualitaet etwas verbessern (wenns richtig gemacht wurde), Tests automatisiert durchführen lassen und auch noch die Codequalitaet überwachen... Es ist natürlich nicht _NUR_ eine KI, wenn du aber eben diese Tools automatisch ablehnst verlierst du ne ganze menge Hilfsmittel.
Hallo und schönen guten Abend,
nun, mehr CVE heisst nicht, dass es mehr Lücken gibt. Es heisst nichtmal, dass mehr Lücken ausgenutzt werden. Es heisst nur, dass mehr Lücken gefunden (und i.d.S behoben) werden - hoffentlich.
Die Entwicklung ist also grundsätzlich gut.
Vermutlich trägt KI dazu auch bei. Gut, wie schlecht.
Ich bin generell dafür, dass die meisten Netze einmal radikal auf den Prüfstand gestellt werden. Was wir immer wieder bei neuen Netzen als "Security by Design" durch Fachfirmen vorgesetzt bekommen ist, nunja, interessant.
Grüße und auf ein gut gesichertes Jahr 2025.
nun, mehr CVE heisst nicht, dass es mehr Lücken gibt. Es heisst nichtmal, dass mehr Lücken ausgenutzt werden. Es heisst nur, dass mehr Lücken gefunden (und i.d.S behoben) werden - hoffentlich.
Die Entwicklung ist also grundsätzlich gut.
Vermutlich trägt KI dazu auch bei. Gut, wie schlecht.
Ich bin generell dafür, dass die meisten Netze einmal radikal auf den Prüfstand gestellt werden. Was wir immer wieder bei neuen Netzen als "Security by Design" durch Fachfirmen vorgesetzt bekommen ist, nunja, interessant.
Grüße und auf ein gut gesichertes Jahr 2025.
2
Ich bin da ganz bei @ds6.eu
Mehr CVEs heißt einfach nur mehr CVEs, aber ohne Kontext sagt das überhaupt nichts aus.
Es könnte viel mehr Software geben, viel mehr Lücken gemeldet werden, mehr Pflicht geben etwas zu melden oder einfach schlechter entwickelt werden.
Vermutlich eine Kombination aus allem davon.
Leider zeigt sich in der Praxis: Ohne knallharte Strafen und regelmäßige Prüfungen halten sich viele Firmen ja noch nicht einmal an geltendes Recht. Das zieht sich quer durch alle Firmengrößen und Branchen, unterscheidet sich häufig nur in der Art und Weise, was dort bewusst ignoriert oder sogar extra gemacht wird.
Bleibt zu hoffen, dass die Verbraucherzentralen sich die Produkthaftungs-Richtlinie genau ansehen und entsprechend juristischen Druck aufbauen.
Mehr CVEs heißt einfach nur mehr CVEs, aber ohne Kontext sagt das überhaupt nichts aus.
Es könnte viel mehr Software geben, viel mehr Lücken gemeldet werden, mehr Pflicht geben etwas zu melden oder einfach schlechter entwickelt werden.
Vermutlich eine Kombination aus allem davon.
Leider zeigt sich in der Praxis: Ohne knallharte Strafen und regelmäßige Prüfungen halten sich viele Firmen ja noch nicht einmal an geltendes Recht. Das zieht sich quer durch alle Firmengrößen und Branchen, unterscheidet sich häufig nur in der Art und Weise, was dort bewusst ignoriert oder sogar extra gemacht wird.
Bleibt zu hoffen, dass die Verbraucherzentralen sich die Produkthaftungs-Richtlinie genau ansehen und entsprechend juristischen Druck aufbauen.
