Windows 8 überflügelt Vorgänger bei Sicherheitslecks
Windows 7 und Windows XP haben die Zahl der bekannten Sicherheitslecks im Jahr 2013 verdoppelt. Dennoch führt Windows 8 das Feld an. Microsoft trage dennoch nicht die Hauptverantwortung bei Sicherheitslecks, wie aus einem Secunia-Sicherheits-Report hervorgeht.
Secunia legt einen Sicherheitsreport für das Jahr 2013 vor. Demnach ist Windows 8 das Betriebssystem mit den meisten bekannten Sicherheitslücken. Insgesamt wurden im den zwölf Monaten des Jahres 2013 156 Sicherheitslecks in Windows 8 bekannt. Doch alleine 55 dieser Lecks gehen auf die Integration des Flash Player in den Internet Explorer zurück, wie das dänische Sicherheitsunternehmen mitteilt.
Im gleichen Zeitraum habe sich die Zahl der Lecks in Windows 7, der derzeit am häufigsten genutzten Windows-Version von 50 im Jahr 2012 auf 102 im zurückliegenden Jahr etwa verdoppelt. Gleiches gilt für Windows XP: hier habe sich im gleichen Zeitraum die Zahl der Verwundbarkeiten von 49 auf 99 ebenfalls nahezu verdoppelt.
Dennoch stellt Secunia auch fest, dass 76 Prozent aller Verwundbarkeiten von den Produkten von Drittherstellern stammen – wie etwa im Fall von Adobes Flash. Damit seien es meist “Nicht-Microsoft”-Programme und Anwendungen, die für Unternehmen die größten Sicherheitsrisiken bergen, so Secunia.
Secunia, ein Anbieter für Unternehmens-IT-Sicherheit, hat die wichtigsten 50 am meisten verbreiteten Programme und Betriebssysteme ganz besonders unter die Lupe genommen. Da solche Programme wie Browser und PDF-Reader in vielen Unternehmen essentieller Bestandteil der Unternehmensinfrastruktur sind.
Und in dieser Top-50-Liste belegt Microsoft – was die Verbreitung anbelangt – die ersten vier Ränge. Nummer 1 sind die XML Core Services. Auf Platz zwei und drei folgen der Windows Media Player und der Internet Explorer. Den Vierten Platz belegt das .Net-Framework von Microsoft. Adobes Flash-Player kommt in diesem Listing auf den fünften Platz und Oracle sichert sich mit Java den zehnten Rang.
Bei der Zahl der Verwundbarkeiten hingegen gibt sich ein ganz anders Bild. Hier führ in der Top-50-Liste Firefox mit mit 270 bekannten Lecks im Jahr 2013, dicht gefolgt von Google Chrome mit 245 und Oracle Java JRE mit 181 Lecks. Microsoft Internet Explorer zählt 126 Verwundbarkeiten, beim Adobe Reader sind mit 67 etwa so viele wie in Apples iTunes mit 66 Lecks. Der Adobe Flash-Player zählt im Jahr 2013 56 Sicherheitslücken. Das .Net-Framework kommt nach Adobe Air mit 51 Lecks mit 18 Lücken auf Rang 9 und in Word wurden 2013 insgesamt 17 Lecks bekannt.
Laut Secunia seien jedoch in dieser Top-50-Liste in 86 Prozent der Fälle am gleichen Tag mit dem Bekanntwerden des Lecks auch ein Patch verfügbar. Und hier sieht Secunia eine begrüßenswerte Entwicklung. So würden sich Sicherheitsforscher inzwischen sehr stark mit den Herstellern abstimmen und die Hersteller vorab informieren. Der zeitliche Abstand zwischen Bekanntwerden und Schließen einer Lücke nehme also über die gesamte Industrie hinweg ständig weiter ab.
Dennoch gab es in diesen 50 wichtigsten Programmen im Jahr 2013 insgesamt 1208 Lecks. Mehr als 13.000 Lecks zählt Secunia darüber hinaus in allen Programmen im Jahr 2013 bekannt. Nachdem Drittanwendungen nur einen Anteil von 34 Prozent in den 50 beliebtesten Programmen ausmachen und von Microsoft etwa 66 Prozent dieser Produkte stammen, ist Microsoft lediglich für 24 Prozent aller Verwundbarkeiten in der Top-50-Liste der Programme verantwortlich, rechnet Secunia vor.
Und an diesem Punkt müssten auch die Anbieter ansetzen, fordert Secunia-CTO Morten R. Stengaard: “Es ist eine Sache, dass Drittanwendungen für den Großteil der Verwundbarkeiten auf einem typischen PC verantwortlich sind, und nicht Microsoft. Ein weiterer wichtiger Sicherheitsfaktor ist aber, dass es im Vergleich mit den Programmen anderer Hersteller inzwischen sehr einfach ist, ein Microsoft-Programm zu aktualisieren.”
Microsoft biete umfangreiche Automatisierung über Auto-Updates, Configuration Management und Update-Services. Daher sei es vergleichsweise einfach einen Windows-PC in einer Unternehmensstruktur von den bekannten Verwundbarkeiten zu befreien. “Das ist aber bei vielen Drittanbietern nicht der Fall”, so Stengaard weiter. Hier würde es häufig an den Fähigkeiten, dem Sicherheits-Fokus oder den Ressourcen mangeln, um Sicherheitsupdates zu automatisieren und einfach verfügbar zu machen.
Immerhin scheint sich aber auch hier einiges zu tun. Noch 2012 lag der Anteil der Fehler, die über Programme von unabhängigen Software-Herstellern auf PC kamen, bei 86 Prozent.
Doch diese nach wie vor hohe Zahl belege auch, dass es für Endnutzer und Administratoren nach wie vor schwierig ist, die Systeme sicher zu bekommen. So verfolge jeder Hersteller andere Update-Zyklen und nicht alle hätten automatisierte Aktualisierungsmechanismen, um Updates auszurollen.