Löchrige Unternehmenslösungen – Google und IBM führen die Statistik an

Secunia veröffentlicht die Studie ‘Vulnerbility Update‘ für die Monate August, September und Oktober. In diesem Zeitraum zählen die Experten insgesamt 1841 Schwachstellen in den 20 Business-Programmen mit den meisten Schwachstellen. Gleichzeitig sind die meisten dieser Programme aus dem Unternehmensalltag kaum weg zu denken. In wie weit ein Unternehmen dadurch gefährdet ist, hängt natürlich davon ab ob und in welchem Maße die entspreche Software eingesetzt wird.

Der Bericht erscheint alle drei Monate und gibt Auskunft über die Zahl der Sicherheitslücken in den Top-20-Produkten pro Monat (die 20 Programme mit den meisten Schwachstellen im jeweiligen Monat).

Häufig bekommen Schwachstellen in Flash oder Windows die meiste Aufmerksamkeit, doch auch in anderen Unternehmensprogrammen verbergen sich zahlreiche und kaum weniger gefährliche Lecks, heißt es von Secunia. Das Vulnerability Update soll daher eine reelle Einschätzung zur Bedrohungslage liefern, denn nahezu täglich werden Lecks in Produkten verschiedener Hersteller entdeckt und geschlosse.

Nachdem sich das Jahr nun seinem Ende zuneigt, wagt Secunia die Prognose, dass die Zahl der Lecks im Jahr 2014 gegenüber 2013 um rund 40 Prozent angestiegen ist. Was sich in den beiden Jahren jedoch nicht verändert habe, schreibt Secunia, sei die Tatsache, dass IBM die Produkte mit den meisten Lecks hat. 2013 sei IBM für 25 Prozent aller Verwundbarkeiten verantwortlich gewesen. Insgesamt wurden 4000 Lecks entdeckt. Und auch 2014 schaffen es viele IBM-Produkte in die Top-20-Liste der Anwendungen mit den meisten Lecks.

Das liegt aber nicht in erster Linie daran, dass man bei IBM nicht auf sichere Entwicklung achte, sondern vielmehr, dass IBM die eigenen Produkte sehr offen für Drittanwendungen wie Java oder OpenSSL mache. “Dass diese Programme mit den verschiedenen IBM-Produkten gebündelt sind, bedeutet, dass jedes Mal, wenn eine Verwundbarkeit entdeckt wurde und ein Patch veröffentlich wird, zum Beispiel für Java, dass die entsprechenden IBM-Produkte ebenfalls ein Update brauchen. Zunächst von IBM und dann von all den Anwendern”, heißt es von Secunia. Nach einem großen Oracle-Patch-Day folgten daher dann meist Wochen, in denen dann die IBM-Produkte aktualisiert werden müssen.

So ist IBM im Monat Oktober mit insgesamt fünf Produkten in den Top20 vertreten. Mit 34 Verwundbarkeiten erreicht das IBM Security Network Intrusion Prevention System Platz Vier hinter Google Chrome (162), dem Avant Browser (159) und Apple iTunes (84). Des Weiteren tauchen in dieser Aufstellung Sun Solaris (32), OS X (30), IBM CICS Transaction Gateway (30) Oracle Database (29), Oracle Solaris (29) und das IBM Tivoli Storage Productivity Center (28) auf. Auch Oracle Java JRE (25), Oracle Java JDK (25), Cisco IOS XE (22), Websphere Message Broker (22), IBM Integration Bus (22) und das IBM FlashSystem (20) haben es auf die Top 20 geschafft.

Sehr lehrreich sei der Fall OpenSSL #3 gewesen. Insgesamt 9 Sicherheitslücken seien in OpenSSL entdeckt worden. Das habe dann zu dem ‘OpenSSL Take 3’ geführt: Heartbleed, Shellshock, und POODLE. “Was wir gesehen haben ist, dass wenn man einer Verwundbarkeit einen griffigen Namen gibt und ein Leck Publicity bekommt, alle Hersteller anfangen Produkte zu prüfen und einen Patch dafür zu veröffentlichen. Keine Publicity heißt daher, keine Bekanntgabe und keine Patches.” Bei Heartbleed hatten noch über 100 Anbieter für rund 600 Produkte Patches veröffentlicht. Gleiches gelte auch für Shellshock, auch hier wurden innerhalb von 40 Tagen 600 Produkte aktualisiert. Bei POODLE sei das Interesse der Medien bereist stark zurückgegangen. Innerhalb von 100 Tagen hätten weniger als 20 Anbieter etwa 50 Produkte aktualisiert.