Computerprogramme und Betriebssysteme werden von Menschen gemacht. Menschen machen Fehler, auch beim Erstellen von Programmen und Betriebssystemen - das weiss jeder.
Zunehmende Komplexität und Zeitdruck bei der Entwicklung sind nur zwei Faktoren, die dazu führen, dass die Anzahl der Fehler in Softwareprodukten tendenziell steigt.
Findige Zeitgenossen, Hacker als auch Virenprogrammierer nutzen das gerne aus. Gelingt es ihnen etwa, ihren eigenen Programmcode auf dem Rechner des Opfers auszuführen, dann können sie prinzipiell die Kontrolle über ein System übernehmen.

Erfahren Sie warum ungepatchte Sicherheitslücken auch aus rechtlicher Sicht (Haftung gegenüber Dritten) ein erhebliches Risiko darstellen und wie man kostengünstig aber wirksam die Sicherheit und Produktivität des gesamten Netzwerkes dramatisch erhöhen kann.

Bug - So heisst das weithin bekannte Schreckgespenst von Anwendern und Administratoren. Ein Bug ist nichts weiter, als ein Fehler in von Menschen geschriebener Software. Ein Bug kann sich ziemlich leicht einschleichen. Manche sind sehr schnell und einfach behoben, andere hingegen sind durch prinzipielle Designfehler vorprogrammiert bzw. schwer zu beheben, weil umfangreiche Änderungen im zugrundeliegendem Design nötig sind. Manche Software ist durch ihr Design besonders anfällig, vor allem dann, wenn nicht schon während bzw. vor Entwicklung der Software an Sicherheit gedacht wurde.

Die Fehler in Betriebssystemen oder in häufig verwendeter Applikationssoftware, bieten den Eindringlingen allein durch den hohen Verbreitungsgrad eine riesige Angriffsfläche. Diese Fehler sind in den einschlägigen Kreisen gut bekannt (www.bugtraq.com u.a.), teilweise sogar schon bevor es richtige Exploits dafür gibt.

Möchte ein Hacker ein bestimmtes Ziel angreifen, kann er sich im Prinzip aus einem Katalog von bekannten Fehlern den aussuchen, den er am leichtesten ausnutzen (exploiten) kann. Für viele dieser Fehler existieren oft sogenannte "proof of concept exploits", die sich mit etwas Geschick zu einer praktisch anwendbaren "malware" erweitern lassen.

Softwarehersteller sind normalerweise sehr darauf bedacht, sicherheitsrelevante Fehler in ihrer Software schnellstmöglich zu beheben - auch hier gibt es Ausnahmen - und veröffentlichen entsprechende Updates zu Ihren Produkten.
Richtig brisant wird die Gefahr, die von diesen bekannten Fehlern ausgeht, aber erst durch die Anwender bzw. Administratoren selber. Sie neigen dazu, verfügbare Patches gar nicht oder nur sehr verspätet zu installieren. Getreu dem Motto "Never change a running System".