Angstmacher oder Analysen

Von Uli Ries

Die Idee ist gut, die Umsetzung problematisch: Einige IT-Sicherheitsreports versuchen anhand von Statistiken, die „sichersten“ oder „unsichersten“ Applikationen zu bestimmen. Meist dienen Aufzählungen der veröffentlichten Schwachstellen als Grundlage. Die Analyse der hierzu notwendigen Quellen ist zeitraubend und eine wahre Sisyphusarbeit.

Erhoffter Nutzen für die Leser der Reports: Sie sollen auf einen Blick ersehen, welche Softwarehersteller besonders häufig von Bugs geplagt sind. IT-Profis und private Anwender wären beim Einkauf vorgewarnt bzw. könnten den betreffenden Kandidaten besonders viel Aufmerksamkeit beim Einspielen von Updates widmen.

E-Book am Online-Kiosk

Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit Download-Links zu sämtlichen Einzelheften bekommen Sie online im Zeitschriftenkiosk des MittelstandsWiki.

Ohne Verstand abgezählt

In der Praxis sind solche Reports aber leider nicht zu gebrauchen. Denn für ein wirklich umfassendes Urteil müssten neben der reinen Bug-Anzahl noch etliche weitere Punkte erfasst und v.a. gewichtet werden. Unterbleibt dieser Mehraufwand – was zumeist der Fall ist – ist die Analyse nur halbgar.

Eine reine Aufzählung von Bugs ist nicht nützlich, wenn nicht ausgewertet wird, wie lange die jeweils betroffenen Hersteller zum Schließen der Lücken eigentlich benötigten. Schon ein schwer wiegender Bug in einer weit verbreiteten Anwendung kann Millionen von PCs in Gefahr bringen, wenn das Loch nicht schnell gestopft wird. Aus diesem Grund muss auch die Verbreitung der betreffenden Anwendungen mit in die Statistik einfließen. Von einer Lücke in zigmillionenfach installierter Software wie Microsoft Windows oder Adobe Flash geht eine viel größere Gefahr aus als von Schwachstellen in einem Browser mit nur geringem Marktanteil oder einem exotischen Instant Messenger, der nur in manchen Teilen der Welt populär ist.

Serie: IT-Sicherheit im Mittelstand

• Teil 1 versucht es mit den ältesten Tricks. Warum? Weil sie immer noch funktionieren.
• Teil 2 arbeitet sich durch den Risiko­katalog bis hin zu den Haftungs­fragen.
• Teil 3 befasst sich schließlich mit den ins Kraut schießenden Com­pliance-Vor­schriften.

Wichtig für wen?

Wichtig ist für eine Bug-Statistik auch die Information, wie leicht die jeweilige Lücke missbraucht werden kann. Microsoft z.B. gibt bei seinen Sicherheitsupdates den „Exploitability Index“ genannten Wert mit an. Dieser Wert sagt IT-Sicherheitsverantwortlichen, mit welcher Priorität sie das Update testen und einspielen sollen. So gibt es z.B. reichlich Lücken, die nur lokal, nicht aber über das Internet missbraucht werden können. In solchen Fällen müsste ein Angreifer also erst auf anderem Weg die Kontrolle über die Maschine erlangen.

Das bekannteste Beispiel hierfür ist wahrscheinlich eine durch den Superwurm Stuxnet bekannt gewordenen Lücke in Windows: Der Schadcode muss vom zu infizierenden PC aus gestartet werden, um die Schwachstelle auszunutzen. Daher verbreitete sich Stuxnet wahrscheinlich sehr häufig über USB-Sticks, nicht jedoch über das Internet.

Zeitfaktor im Kopf-an-Kopf-Rennen

Ebenfalls bedeutsam ist die Quelle der Lücke. Entscheidend hierbei ist die Antwort auf die Frage, ob der Hersteller die Schwachstelle selbst entdeckt hat und so genug Zeit bekam, sie in Ruhe zu schließen. Deutlich gefährlicher sind Bugs, deren Details frei im Netz kursieren. Denn dann beginnt ein Wettlauf zwischen den bösartigen Hackern und dem Hersteller, der unter Zeitdruck ein Update programmieren und vor allem testen muss.

Die wichtigsten Reports, Analysen, Statistiken, Berichte
Der Verizon Busi­ness Data Breach Investi­gations Re­port gehört zu den interes­san­testen Sicherheits­berichten Die Aufstellung der für einen soliden Report relevanten Faktoren macht deutlich, wie viel Arbeit in eine verlässliche Bug-Statistik fließen müsste. Bislang hat keiner der Verfasser wirklich all die wichtigen Faktoren beachtet. Insofern sollten die mit viel Öffentlichkeits­wirksamkeit versehenen Statistiken mit Vorsicht genossen werden. Was wiederum nicht heißen soll, dass es keine guten, aussage­kräftigen IT-Sicherheits­reports gibt. Es gibt nicht nur die genannten Bug-Erhebungen, sondern Reports zu allen möglichen Aspekten: Spam, Malware, Web-Exploits usw. Im Folgenden eine – wahrscheinlich unvoll­ständige – alphabetisch sortierte Liste der bekanntesten Reports. Die Auf­stellung wurde sorg­fältig recherchiert. Es kann natürlich dennoch sein, dass der ein oder andere Bericht fehlt. Dies ist keine Absicht, sondern ein Versehen.
Bit9 Top Vulnerable Applications for IT | Bit9 er­mittelt an­hand ver­schiedener Fak­toren die am stärksten von Bugs be­troffenen Applika­tionen. Cloud Security Alliance Top Threats Report | Halb­jährlich ver­öffentlichter Be­richt, der die für Cloud-Anwendungen rele­vanten Ge­fahren zusammenträgt. Cisco Security Report | Cisco betrachtet IT-Sicherheit speziell durch die Bril­le von Geschäfts­kunden und IT-Ent­scheidern. eleven E-Mail Security Reports | Deutschsprachige Zusammenfassungen von Spam- und Malware-Trends. IBM x-Force Trend and Risk Report | Zwei Mal pro Jahr gibt IBM einen Überblick über ein breites Gefahren­spektrum wie Soft­ware­schwachstellen, Mal­ware, Phishing und Cyber­crime-Aktionen. McAfee Threats Report | Auf Deutsch erhältliche Reports zu ver­schiedensten Malware-Bedrohungen. MessageLabs Intelligence Report |Auf Spam spezialisierter Report Microsoft Security Intelligence Report | Zwei Mal pro Jahr er­scheinender Report, der Aus­kunft gibt über die welt­weite, allge­meine Bedrohungs­lage durch Schad­software auf PCs.	SANS Top Cyber Security Risks | Das SANS Institute erfasst in diesen Bericht Attacken auf Unternehmensnetzwerke. Sophos Threat Report | Übersicht der neuesten Cyberattacken. Symantec Internet Security Threat Report | Einmal pro Jar erschei­nender Re­port zu den wichtig­sten Trends rund um Schad­software und Cyber­crime. Einmal pro Quartal ver­öffentlicht Symantec Er­gänzungen und Aktuali­sierungen zum Jahres­bericht. Trustwave Global Security Report | Dem Trust­wave-Report liegen Analysen von realen Attacken auf Kunden­netzwerke und echte Daten­pannen zugrunde. Veracode State of Software Security Report | Untersuchung verschie­denster An­wendungs­arten (Kompo­nenten, Biblio­theken, Web- und Offline-Anwendungen) hin­sichtlich ihrer Sicherheit. Verizon Business Data Breach Investigations Report | Verizon Business analy­siert reale Daten­pannen und ar­beitet her­aus, wie es zu diesen kom­men konnte. Am Report 2010 hat der US Secret Service mitge­arbeitet und eigene Erkennt­nisse mit einfließen lassen.

Gerne übersehen beim Erstellen der Reports ist der Punkt automatische Updates. Hat ein betroffenes Produkt eine solche Funktion, können Updates schnell und sogar ohne Zutun des Nutzers verteilt werden. Die Zeitspanne, in der ein angreifbares Produkt schutzlos genutzt wird, verringert sich beträchtlich. Gibt es keinen Automatismus, müssen Anwender bzw. IT-Abteilungen selbst regelmäßig die Webseiten der Hersteller prüfen. Alternativ hilft ein Tool wie Secunia PSI, das den Check automatisch erledigt und für den privaten Einsatz gratis ist.

Fazit: Vernebelte Datenbasis

Ein grundsätzliches Problem für die Ersteller der Bug-Reports besteht darin, dass längst nicht alle Softwarehersteller Bugs sofort nach deren Auftauchen kommunizieren. Die Mozilla Foundation macht jegliche Schwachstelle öffentlich, ganz egal, ob sie von einem externen Sicherheitsforscher oder einem zum Projekt gehörenden Programmierer entdeckt wurde. Microsoft und andere Anwendungs- und Betriebssystemlieferanten schaffen intern entdeckte Lücken ohne Information der Öffentlichkeit aus der Welt. Daher bleibt eine Statistik immer lückenhaft.

Nützliche Links

In den Journalen

• Symantec 2011 State of Security Survey
• Frühstücksgutschein schlägt auf den Magen
• Mobile Endgeräte sind das größte Sicherheitsrisiko
• Hacker nehmen sich Smartphones und Tablets vor* Podcast: Wie Sicherheit die Wirtschaft treibt