Weakness

Was ist eine Weakness?

Eine Weakness (engl. Schwäche) beschreibt gemäß OSSTMM (Open Source Security Testing Methodology Manual) eine sicherheitsrelevante Schwachstelle der zweithöchsten Risikoklasse. Im Gegensatz zur Vulnerability ist eine Weakness noch nicht direkt ausnutzbar, kann aber unter bestimmten Umständen zu einem Exploit führen oder eine Eskalation anderer Angriffe ermöglichen.

Merkmale und Beispiele

• Keine direkte Exploitierbarkeit:
  Der Zustand allein reicht nicht aus, um eine Kompromittierung zu verursachen – ermöglicht jedoch Schwachstellen-Ketten in Kombination mit weiteren Fehlern.

• Typische Weaknesses sind z. B.:
  – Übertragung von Passwörtern über HTTP statt HTTPS
  – Fehlende Sicherheits-Header (CSP, HSTS, X-Frame-Options)
  – Fehlende oder schwache Input-Validierung
  – Klartext-Credentials in Konfigurationsdateien
  – Ungepatchte, aber nicht öffentlich verwundbare Software-Komponenten

• Risikopotential:
  Eine Weakness kann zur Concern (beobachtete Unsicherheit) oder zur Vulnerability (exploitierbare Schwachstelle) eskalieren, wenn zusätzliche Angriffsvektoren dazukommen – etwa durch Man-in-the-Middle-Angriffe oder Disclosure-Schwächen.

Umgang mit Weaknesses

Das OSSTMM empfiehlt eine proaktive Behebung, z. B. durch:

• Umstellung auf TLS-verschlüsselte Übertragungen

• Einführung von Security Headers

• Einsatz von Input-Sanitizing-Funktionen

• Aktivierung von Secure Defaults und Härtung von Konfigurationen

Anwendung in der Praxis

Während eines internen Audits wurde festgestellt, dass Login-Formulare in einer Admin-Konsole per HTTP statt HTTPS übertragen wurden – klassifiziert als Weakness. Obwohl keine konkrete Ausnutzung dokumentiert war, bestand ein hohes Risiko bei MITM-Szenarien. Durch Aktivierung von TLS, Umleitung per HSTS und Integration eines Web Application Firewalls (WAF) konnte die Weakness ohne großen Aufwand vollständig entschärft werden.

Verwandte Begriffe

• Vulnerability

• Concern (OSSTMM)

• Security Scan

• Sicherheitsheader

• Input-Validierung

• TLS

• Man-in-the-Middle

• Penetration Test

• Secure Coding

• Configuration Review