Windows 8 überflügelt Vorgänger bei Sicherheitslecks

Windows 8 war 2013 das Microsoft-Betriebssystem mit den meisten Verwundbarkeiten. Viele dieser Lecks kommen jedoch über Drittanwendungen zustande. Quelle: Secunia

Secunia legt einen Sicherheitsreport für das Jahr 2013 vor. Demnach ist Windows 8 das Betriebssystem mit den meisten bekannten Sicherheitslücken. Insgesamt wurden im den zwölf Monaten des Jahres 2013 156 Sicherheitslecks in Windows 8 bekannt. Doch alleine 55 dieser Lecks gehen auf die Integration des Flash Player in den Internet Explorer zurück, wie das dänische Sicherheitsunternehmen mitteilt.

Im gleichen Zeitraum habe sich die Zahl der Lecks in Windows 7, der derzeit am häufigsten genutzten Windows-Version von 50 im Jahr 2012 auf 102 im zurückliegenden Jahr etwa verdoppelt. Gleiches gilt für Windows XP: hier habe sich im gleichen Zeitraum die Zahl der Verwundbarkeiten von 49 auf 99 ebenfalls nahezu verdoppelt.

Dennoch stellt Secunia auch fest, dass 76 Prozent aller Verwundbarkeiten von den Produkten von Drittherstellern stammen – wie etwa im Fall von Adobes Flash. Damit seien es meist “Nicht-Microsoft”-Programme und Anwendungen, die für Unternehmen die größten Sicherheitsrisiken bergen, so Secunia.

Secunia, ein Anbieter für Unternehmens-IT-Sicherheit, hat die wichtigsten 50 am meisten verbreiteten Programme und Betriebssysteme ganz besonders unter die Lupe genommen. Da solche Programme wie Browser und PDF-Reader in vielen Unternehmen essentieller Bestandteil der Unternehmensinfrastruktur sind.

Auszug aus Secunias Liste mit den am häufigsten verwendeten Programmen. Quelle: Secunia

Und in dieser Top-50-Liste belegt Microsoft – was die Verbreitung anbelangt – die ersten vier Ränge. Nummer 1 sind die XML Core Services. Auf Platz zwei und drei folgen der Windows Media Player und der Internet Explorer. Den Vierten Platz belegt das .Net-Framework von Microsoft. Adobes Flash-Player kommt in diesem Listing auf den fünften Platz und Oracle sichert sich mit Java den zehnten Rang.

Bei der Zahl der Verwundbarkeiten hingegen gibt sich ein ganz anders Bild. Hier führ in der Top-50-Liste Firefox mit mit 270 bekannten Lecks im Jahr 2013, dicht gefolgt von Google Chrome mit 245 und Oracle Java JRE mit 181 Lecks. Microsoft Internet Explorer zählt 126 Verwundbarkeiten, beim Adobe Reader sind mit 67 etwa so viele wie in Apples iTunes mit 66 Lecks. Der Adobe Flash-Player zählt im Jahr 2013 56 Sicherheitslücken. Das .Net-Framework kommt nach Adobe Air mit 51 Lecks mit 18 Lücken auf Rang 9 und in Word wurden 2013 insgesamt 17 Lecks bekannt.

Laut Secunia seien jedoch in dieser Top-50-Liste in 86 Prozent der Fälle am gleichen Tag mit dem Bekanntwerden des Lecks auch ein Patch verfügbar. Und hier sieht Secunia eine begrüßenswerte Entwicklung. So würden sich Sicherheitsforscher inzwischen sehr stark mit den Herstellern abstimmen und die Hersteller vorab informieren. Der zeitliche Abstand zwischen Bekanntwerden und Schließen einer Lücke nehme also über die gesamte Industrie hinweg ständig weiter ab.

Dennoch gab es in diesen 50 wichtigsten Programmen im Jahr 2013 insgesamt 1208 Lecks. Mehr als 13.000 Lecks zählt Secunia darüber hinaus in allen Programmen im Jahr 2013 bekannt. Nachdem Drittanwendungen nur einen Anteil von 34 Prozent in den 50 beliebtesten Programmen ausmachen und von Microsoft etwa 66 Prozent dieser Produkte stammen, ist Microsoft lediglich für 24 Prozent aller Verwundbarkeiten in der Top-50-Liste der Programme verantwortlich, rechnet Secunia vor.

Und an diesem Punkt müssten auch die Anbieter ansetzen, fordert Secunia-CTO Morten R. Stengaard: “Es ist eine Sache, dass Drittanwendungen für den Großteil der Verwundbarkeiten auf einem typischen PC verantwortlich sind, und nicht Microsoft. Ein weiterer wichtiger Sicherheitsfaktor ist aber, dass es im Vergleich mit den Programmen anderer Hersteller inzwischen sehr einfach ist, ein Microsoft-Programm zu aktualisieren.”

Microsoft biete umfangreiche Automatisierung über Auto-Updates, Configuration Management und Update-Services. Daher sei es vergleichsweise einfach einen Windows-PC in einer Unternehmensstruktur von den bekannten Verwundbarkeiten zu befreien. “Das ist aber bei vielen Drittanbietern nicht der Fall”, so Stengaard weiter. Hier würde es häufig an den Fähigkeiten, dem Sicherheits-Fokus oder den Ressourcen mangeln, um Sicherheitsupdates zu automatisieren und einfach verfügbar zu machen.

Immerhin scheint sich aber auch hier einiges zu tun. Noch 2012 lag der Anteil der Fehler, die über Programme von unabhängigen Software-Herstellern auf PC kamen, bei 86 Prozent.

Doch diese nach wie vor hohe Zahl belege auch, dass es für Endnutzer und Administratoren nach wie vor schwierig ist, die Systeme sicher zu bekommen. So verfolge jeder Hersteller andere Update-Zyklen und nicht alle hätten automatisierte Aktualisierungsmechanismen, um Updates auszurollen.

Hier zeigt Secunia aus der Liste der am häufigsten verwendeten Programme, diejenigen mit den meisten Sicherheitslecks. Quelle: Secunia
Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago