Sicherheitslücken: Apple mit OS X und iOS vor Linux und Microsoft Windows
Deutlicher Anstieg bei Sicherheitslücken
Aktuellen Daten der National Vulnerability Database (NVD) nach wurden im vergangenen Jahr insgesamt 7.038 neue Sicherheitslücken entdeckt – das sind 19 pro Tag. Zudem bedeutet das einen deutlichen Anstieg gegenüber 2013, als 4.794 Sicherheitslücken entdeckt wurden. Rund ein Viertel der Sicherheitslücken wurde als hoch gefährlich eingestuft.
Besonders interessant: Bei den Betriebssystemen wies nicht Windows die meisten Sicherheitslücken auf, sondern Apples OS X und das mobile Betriebssystem iOS. Auf dem dritten Rang der eher unrühmlichen Liste findet sich Linux Kernel. Die übrigen Plätze der Top-Ten belegen Windows-Systeme wie Windows Server 2008 oder Windows 7.
Nicht zuletzt Linux-Nutzer mussten sich 2014 mit potenziell gefährlichen Sicherheitslücken herumschlagen. So wurden Heartbleed oder Shellshock auf diesem System entdeckt. Zuletzt warnten Sicherheitsexperten Ende Januar 2015 vor einer Sicherheitslücke namens GHOST, von der viele Linux-Distributionen betroffen waren.
Sicherheitslücken: Anteil der Betriebssysteme gering
Allerdings zeichneten Betriebssysteme nur für einen geringen Anteil an den gesamten Sicherheitslücken verantwortlich (13 Prozent). Mehr als 80 Prozent der entdeckten Sicherheitslücken befanden sich laut dem Bericht in Programmen von Drittanbietern.
Bei den Applikationen wiesen naturgemäß die Browser die meisten Sicherheitslücken auf. Hier dominiert der Internet Explorer die Rangliste (242). Dahinter folgen Google Chrome (124) und Mozilla Firefox (117). Ebenfalls viele Sicherheitslücken wurden auch 2014 in Java und Flash Player entdeckt. Um potenzielle Bedrohungen durch Sicherheitslücken zu minimieren, sollten die Systeme über aktuelle Patches immer auf dem aktuellen Stand gehalten werden.
Die Statistik birgt allerdings einige Unklarheiten. So werden ältere Versionen von Apples Betriebssystem nicht aufgeführt, während das bei den Windows-Versionen offensichtlich der Fall ist. Auch das Herausrechnen der Sicherheitslücken des Microsoft-Browsers Internet Explorer verzerrt die Rangliste zumindest.
Zwei Systeme an der Spitze die doch eigentlich als „Sicher“ gelten. Mal sehen wie die Fans das wieder schönreden…
Da muss nichts schön geredet werden. MacOS kommt nur in der Liste nur in einer Version daher und Safari (Browser) scheint implementiert, denn er taucht in der Browser-Liste nicht auf. Windows wurde in viele Versionen aufgeteilt und der Internet Explorer wurde extra aufgezählt. Auch wenn es bei unterschiedlichen Windows-Versionen Dopplungen geben mag (also die selbe Sicherheitslücke) ist doch klar, dass diese Statistik Äpfel mit Birnen vergleicht. Christian, du kannst gerne Gegenargumente liefern. Schade, dass der Autor dieses Artikels unkritisch berichtet.
Der Autor von diesem Artikel hat doch genau diese Kritik im letzten Absatz erwähnt, wieso soll das dann unkritisch sein?
„Die Statistik birgt allerdings einige Unklarheiten. …“
Wohl eher ist diese „Schuld“ dem Ersteller der Statistik zuzuschreiben, die Microsoft-Produkte sollten genauso zusammengerechnet werden wie die aus dem Hause Apple.
Das ganze Leben ist eine einzige Sicherheitslücke…
Bei Lücken sollte man die neueste Version betrachten.
Weil man Yosemite kostenlos kriegt, sind die Vorgänger wohl inzwischen seltener verbreitet und (fast) jedem steht es frei upzudaten. Bei Windows hingegen muss man oft teuer kaufen um neuer zu stehen.
Admins könnten was dazu sagen wie viel Aufwand die verschiedenen Systeme verursachen. Dummerweise sieht man die oft nur am „Admins Day“.
Die Windows-Lücken können nicht einfach aufaddiert weden, weil es wahrscheinlich zum größten Teil identische Lücken sind. Wenn man sich außerdem das Verhältnis von schweren Lücken zur jeweiligen Gesamtzahl ansieht, hat Windows das schlechteste Verhältnis. Außerdem ist viel wichtiger, welche Lücken genutzt werden uns wie schnell Lücken geschlossen werden. Es ist schade, dass so viele Seiten einfach die Zahlen und Inhalte eines US-Blogs wiederholen, statt selbst Schlüsse zu ziehen. Ich habe eine differenziertere eigene Betrachtung dieser Zahlen auf meiner Seite veröffentlicht: http://computer-service-remscheid.de/welches-betriebssystem-ist-unsicher/
@Robin Pfeifer:
Die Statistiken sind für Enduser und wohl Hauptsächlich für Firmen. Für Hacker ist es natürlich interessanter welche Lücken eine hohe Überdeckung bei den Zielsystemen liefern um mit möglichst wenig Exploits möglichst viele Windows- (oder Browser-)-Versionen zu erwischen. Aber für solche Leute sind halt diese Statistiken nicht sondern für die ehrliche Gegenseite die ihre Systeme schützen will oder zumindest schützen sollte.
Und auch wenn es dieselbe Lücke ist, betrifft sie viele „stable“ Releases z.b. aktuell bei Samba. Dort gibts dann vielleicht eine Lösung, diese muss man aber in alle gepflegten Releases einspielen. Oft nur aktuell/nightly und vielleicht noch die Vorgängerversion und LTS-Versionen. Das macht entsprechend viel Arbeit. Es ist schon mehrmals passiert das Lücken geschlossen wurden und ein paar Jahre später wieder auftauchten.
Für den Admin und TCO und Aufwand ist „dieselbe“ Lücke auf mehreren Windows-Versionen unterschiedlich weil der Admin für jedes Windows jeweils einen anderen Patch einspielen muss.
Auf zigtausenden Bank-Rechnern oder Versicherungs-Rechnern oder bei den ich glaube 16.000 Mitarbeitern von Ebay.
Teilweise sind bestimmte Business-Softwaren nur für bestimmte Service-Packs zertifiziert so das man inzwischen virtualisiert und irgendeine Firmen-Lösung noch eine ältere Windows-Version nutzt. Der Home-Kunde hingegen kann (nach einer Sicherheits-Wartezeit von 1-3 Wochen) normalerweise immer alles auf der neuesten Version halten. Firmen hängen davon ab das die Software läuft und da kann man nicht 0dayz alles sofort einspielen. Siehe Amazon die letzte oder vorletzte Woche eine Weile lang ausgefallen waren.
Die Vielfalt macht es aufwendiger als man denkt. Und es reicht oft ja leider das ein Top-Boni-Manager die falsche Email an seinem nicht upgedateten Laptop anklickt um an die Firmen-Daten zu kommen. Spear-Phishing scheint ja nicht selten vorzukommen.
Aber man könnte die Zahlen wirklich spezifizierter machen und bei den Lücken differenzieren auf wievielen Windows-Versionen sie auftreten:
Z.b. „44=11:1+22:2+11:3“ also 11 Lücken nur für diese Windows-Version, 22 Lücken auf dieser und irgendeiner anderen Windows-Version und noch mal 11 Lücken auf dieser und zwei anderen Windows-Versionen.