Die Nachricht sorgte in den letzten Tagen für reißerische Überschriften: In Apples Mac OS X und Linux wurden im Jahr 2014 die meisten Sicherheitslücken entdeckt, Windows erscheint nicht unter den erster Drei. Das ergibt eine Auswertung der National Vulnerability Database. So prägnant die Zahlen auf den ersten Blick erscheinen, die bloße Anzahl von Schwachstellen sagt nur wenig aus. Denn in der Praxis zählen andere Werte.
Aufgrund der Daten der National Vulnerability Database (NVD) gab es 2014 insgesamt 7038 Schwachstellen, von denen auf Betriebssysteme nur 13 Prozent (915 Stück) entfielen. Laut einer Auflistung von GFI-Software entfallen 147 Schwachstellen auf Apple Mac OS X, Apple iOS hat 127 Schwachstellen, Linux Kernel 119. Windows 7, Windows 8 und Windows 8.1 sind mit je 36 vertreten. Erfasst sind dabei aber nur den Herstellern bekannte und von ihnen gemeldete Schwachstellen. Eine Garantie auf Vollständigkeit gibt es daher natürlich nicht. Auffällig dabei ist, wie groß der Anteil der betroffenen Anwendungen inzwischen ist. Diese Entwicklung bestätigt, dass die in Betriebssystemen seit einigen Jahren integrierten Sicherungsmechanismen Wirkung zeigen und sich Angreifer somit auf die teilweise nicht ganz so gut geschützten Applikationen konzentrieren.
Da die Anzahl der Schwachstellen noch nicht viel über das tatsächliche Risiko aussagt, hat NVD die Schwachstellen nach ihrer Gefährlichkeit sortiert, in hohes, mittleres oder geringes Risiko. Bei den Schwachstellen mit hohem Risiko liegt Apples Mac OS X mit 64 Bugs auf Platz 1, die anderen Betriebssysteme kommen hingegen auf Werte zwischen 24 und 32 und liegen damit darunter.
Allerdings ist auch die Anzahl der tatsächlich erfolgten Attacken zu berücksichtigen die die gezählten Bugs missbrauchen. Und es spielt eine Rolle, ob und wie leicht sich eine Sicherheitslücke für Angriffe missbrauchen lässt. Microsoft gibt daher zu jeder geschlossenen Schwachstelle deren „Exploitability Index“ an, also den Wert der Ausnutzbarkeit an. Hohe Werte tragen nur Lücken, die sich aus der Ferne und ohne den Beitrag des potentiellen Opfers ausnutzen lasen. Zu berücksichtigen ist aber natürlich auch, dass Windows-Bugs durch die höhere Verbreitung der Microsoft-Betriebssysteme viel mehr Unternehmen und Privatanwender betreffen können.
Mindestens so relevant ist, wie schnell ein betroffener Hersteller die Lücke durch ein Update schließen kann und wie schnell dieses Update an die Kunden verteilt werden kann. Hierzu sind auf Seiten des Anbieters spezialisierte Teams und robuste Verteilungsmechanismen (Auto-Updater) nötig.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
from TechNet Blog Deutschland : sicherheit