Viele Sicherheitslücken in Software wären schon im Vorfeld zu vermeiden, wie ein 30-köpfiges Team aus internationalen Experten für Internet-Sicherheit jetzt erklärt hat. Sie haben eine Liste mit den 25 aus ihrer Sicht gefährlichsten Programmierfehlern veröffentlicht, die zwar bekannt sind, aber immer noch häufig auftreten.

Besonders irritierend ist dabei der Umstand, dass die Software-Hersteller ihre Produkte nicht standardmäßig auf diese Fehler hin überprüfen. Die Folgen dieser Nachlässigkeit sind zum Teil dramatisch: Allein zwei der bekannten Fehler führten 2008 zu Sicherheitslecks auf 1,5 Millionen Websites - in der Folge konnten Angreifer die Rechner der Besucher übernehmen.

Die 25 Fehler haben die Experten in drei Kategorien eingeteilt:

• Unsichere Interaktionen zwischen verschiedenen Komponenten: Dieser Kategorie sind neun Fehler zugeordnet. Beispiel Improper Input Validation: Eingaben, beispielsweise in einem Formular, werden nicht auf ihre Gültigkeit überprüft.
• Riskantes Ressourcen Management: Auch hier sind neun Fehler aufgelistet. Beispiel Failure to Constrain Operations within the Bounds of a Memory Buffer: Hier werden Operationen ausgeführt, obwohl sie zu einem Buffer Overflow führen.
• Löchrige Abwehr: Die sieben Fehler in dieser Kategorie drehen sich um die Zugangsrechte. Beispiel Improper Access Control: Die Software stellt nicht sicher, dass die Nutzer tatsächlich nur Dinge tun können, die ihnen eigentlich erlaubt sind.

Die Fehler in dieser Liste sind laut Expertenteam leicht aufzufinden und zu vermeiden. Dennoch werden diese Fehler immer wieder bei der Programmierung neuer und bestehender Software gemacht. Hacker haben dadurch leichtes Spiel, denn sie kennen diese Fehler natürlich auch und suchen gezielt danach. Auf der Website der Common Weakness Enumeration werden alle Fehler detailliert beschrieben und Tipps zur Vermeidung und Behebung gegeben.