IT-Sicherheitsreports

Aus MittelstandsWiki
Wechseln zu: Navigation, Suche

Angstmacher oder Analysen

lily

Von Uli Ries

Die Idee ist gut, die Umsetzung problematisch: Einige IT-Sicherheitsreports versuchen anhand von Statistiken, die „sichersten“ oder „unsichersten“ Applikationen zu bestimmen. Meist dienen Aufzählungen der veröffentlichten Schwachstellen als Grundlage. Die Analyse der hierzu notwendigen Quellen ist zeitraubend und eine wahre Sisyphusarbeit.

Erhoffter Nutzen für die Leser der Reports: Sie sollen auf einen Blick ersehen, welche Softwarehersteller besonders häufig von Bugs geplagt sind. IT-Profis und private Anwender wären beim Einkauf vorgewarnt bzw. könnten den betreffenden Kandidaten besonders viel Aufmerksamkeit beim Einspielen von Updates widmen.

Ohne Verstand abgezählt

In der Praxis sind solche Reports aber leider nicht zu gebrauchen. Denn für ein wirklich umfassendes Urteil müssten neben der reinen Bug-Anzahl noch etliche weitere Punkte erfasst und v.a. gewichtet werden. Unterbleibt dieser Mehraufwand – was zumeist der Fall ist – ist die Analyse nur halbgar.

Eine reine Aufzählung von Bugs ist nicht nützlich, wenn nicht ausgewertet wird, wie lange die jeweils betroffenen Hersteller zum Schließen der Lücken eigentlich benötigten. Schon ein schwer wiegender Bug in einer weit verbreiteten Anwendung kann Millionen von PCs in Gefahr bringen, wenn das Loch nicht schnell gestopft wird. Aus diesem Grund muss auch die Verbreitung der betreffenden Anwendungen mit in die Statistik einfließen. Von einer Lücke in zigmillionenfach installierter Software wie Microsoft Windows oder Adobe Flash geht eine viel größere Gefahr aus als von Schwachstellen in einem Browser mit nur geringem Marktanteil oder einem exotischen Instant Messenger, der nur in manchen Teilen der Welt populär ist.

Serie: IT-Sicherheit im Mittelstand
Teil 1 versucht es mit den ältesten Tricks. Warum? Weil sie immer noch funktionieren. Teil 2 arbeitet sich durch den Risiko­katalog bis hin zu den Haftungs­fragen. Teil 3 befasst sich schließlich mit den ins Kraut schießenden Com­pliance-Vor­schriften. Ein Sonderbeitrag befasst damit, wie die aktuellen Cyberbedrohungen 2017 zu bewerten sind.

Wichtig für wen?

Wichtig ist für eine Bug-Statistik auch die Information, wie leicht die jeweilige Lücke missbraucht werden kann. Microsoft z.B. gibt bei seinen Sicherheitsupdates den „Exploitability Index“ genannten Wert mit an. Dieser Wert sagt IT-Sicherheitsverantwortlichen, mit welcher Priorität sie das Update testen und einspielen sollen. So gibt es z.B. reichlich Lücken, die nur lokal, nicht aber über das Internet missbraucht werden können. In solchen Fällen müsste ein Angreifer also erst auf anderem Weg die Kontrolle über die Maschine erlangen.

Das bekannteste Beispiel hierfür ist wahrscheinlich eine durch den Superwurm Stuxnet bekannt gewordenen Lücke in Windows: Der Schadcode muss vom zu infizierenden PC aus gestartet werden, um die Schwachstelle auszunutzen. Daher verbreitete sich Stuxnet wahrscheinlich sehr häufig über USB-Sticks, nicht jedoch über das Internet.

Kommunikation-und-netze-2015-02.jpg
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Zeitfaktor im Kopf-an-Kopf-Rennen

Ebenfalls bedeutsam ist die Quelle der Lücke. Entscheidend hierbei ist die Antwort auf die Frage, ob der Hersteller die Schwachstelle selbst entdeckt hat und so genug Zeit bekam, sie in Ruhe zu schließen. Deutlich gefährlicher sind Bugs, deren Details frei im Netz kursieren. Denn dann beginnt ein Wettlauf zwischen den bösartigen Hackern und dem Hersteller, der unter Zeitdruck ein Update programmieren und vor allem testen muss.

Die wichtigsten Reports, Analysen, Statistiken, Berichte
Verizon report cover.jpg

Die Aufstellung der für einen soliden Report relevanten Faktoren macht deutlich, wie viel Arbeit in eine verlässliche Bug-Statistik fließen müsste. Bislang hat keiner der Verfasser wirklich all die wichtigen Faktoren beachtet. Insofern sollten die mit viel Öffentlichkeits­wirksamkeit versehenen Statistiken mit Vorsicht genossen werden.

Was wiederum nicht heißen soll, dass es keine guten, aussage­kräftigen IT-Sicherheits­reports gibt. Es gibt nicht nur die genannten Bug-Erhebungen, sondern Reports zu allen möglichen Aspekten: Spam, Malware, Web-Exploits usw.

Im Folgenden eine – wahrscheinlich unvoll­ständige – alphabetisch sortierte Liste der bekanntesten Reports. Die Auf­stellung wurde sorg­fältig recherchiert. Es kann natürlich dennoch sein, dass der ein oder andere Bericht fehlt. Dies ist keine Absicht, sondern ein Versehen.

Gerne übersehen beim Erstellen der Reports ist der Punkt automatische Updates. Hat ein betroffenes Produkt eine solche Funktion, können Updates schnell und sogar ohne Zutun des Nutzers verteilt werden. Die Zeitspanne, in der ein angreifbares Produkt schutzlos genutzt wird, verringert sich beträchtlich. Gibt es keinen Automatismus, müssen Anwender bzw. IT-Abteilungen selbst regelmäßig die Webseiten der Hersteller prüfen. Alternativ hilft ein Tool wie Secunia PSI, das den Check automatisch erledigt und für den privaten Einsatz gratis ist.

Fazit: Vernebelte Datenbasis

Ein grundsätzliches Problem für die Ersteller der Bug-Reports besteht darin, dass längst nicht alle Softwarehersteller Bugs sofort nach deren Auftauchen kommunizieren. Die Mozilla Foundation macht jegliche Schwachstelle öffentlich, ganz egal, ob sie von einem externen Sicherheitsforscher oder einem zum Projekt gehörenden Programmierer entdeckt wurde. Microsoft und andere Anwendungs- und Betriebssystemlieferanten schaffen intern entdeckte Lücken ohne Information der Öffentlichkeit aus der Welt. Daher bleibt eine Statistik immer lückenhaft.

Nützliche Links