Angstmacher oder Analysen
Von Uli Ries
Die Idee ist gut, die Umsetzung problematisch: Einige IT-Sicherheitsreports versuchen anhand von Statistiken, die „sichersten“ oder „unsichersten“ Applikationen zu bestimmen. Meist dienen Aufzählungen der veröffentlichten Schwachstellen als Grundlage. Die Analyse der hierzu notwendigen Quellen ist zeitraubend und eine wahre Sisyphusarbeit.
Erhoffter Nutzen für die Leser der Reports: Sie sollen auf einen Blick ersehen, welche Softwarehersteller besonders häufig von Bugs geplagt sind. IT-Profis und private Anwender wären beim Einkauf vorgewarnt bzw. könnten den betreffenden Kandidaten besonders viel Aufmerksamkeit beim Einspielen von Updates widmen.
Ohne Verstand abgezählt
In der Praxis sind solche Reports aber leider nicht zu gebrauchen. Denn für ein wirklich umfassendes Urteil müssten neben der reinen Bug-Anzahl noch etliche weitere Punkte erfasst und v.a. gewichtet werden. Unterbleibt dieser Mehraufwand – was zumeist der Fall ist – ist die Analyse nur halbgar.
Eine reine Aufzählung von Bugs ist nicht nützlich, wenn nicht ausgewertet wird, wie lange die jeweils betroffenen Hersteller zum Schließen der Lücken eigentlich benötigten. Schon ein schwer wiegender Bug in einer weit verbreiteten Anwendung kann Millionen von PCs in Gefahr bringen, wenn das Loch nicht schnell gestopft wird. Aus diesem Grund muss auch die Verbreitung der betreffenden Anwendungen mit in die Statistik einfließen. Von einer Lücke in zigmillionenfach installierter Software wie Microsoft Windows oder Adobe Flash geht eine viel größere Gefahr aus als von Schwachstellen in einem Browser mit nur geringem Marktanteil oder einem exotischen Instant Messenger, der nur in manchen Teilen der Welt populär ist.
Teil 1 versucht es mit den ältesten Tricks. Warum? Weil sie immer noch funktionieren. Teil 2 arbeitet sich durch den Risikokatalog bis hin zu den Haftungsfragen. Teil 3 befasst sich schließlich mit den ins Kraut schießenden Compliance-Vorschriften. Ein Sonderbeitrag befasst damit, wie die aktuellen Cyberbedrohungen 2017 zu bewerten sind.
Wichtig für wen?
Wichtig ist für eine Bug-Statistik auch die Information, wie leicht die jeweilige Lücke missbraucht werden kann. Microsoft z.B. gibt bei seinen Sicherheitsupdates den „Exploitability Index“ genannten Wert mit an. Dieser Wert sagt IT-Sicherheitsverantwortlichen, mit welcher Priorität sie das Update testen und einspielen sollen. So gibt es z.B. reichlich Lücken, die nur lokal, nicht aber über das Internet missbraucht werden können. In solchen Fällen müsste ein Angreifer also erst auf anderem Weg die Kontrolle über die Maschine erlangen.
Das bekannteste Beispiel hierfür ist wahrscheinlich eine durch den Superwurm Stuxnet bekannt gewordenen Lücke in Windows: Der Schadcode muss vom zu infizierenden PC aus gestartet werden, um die Schwachstelle auszunutzen. Daher verbreitete sich Stuxnet wahrscheinlich sehr häufig über USB-Sticks, nicht jedoch über das Internet.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Zeitfaktor im Kopf-an-Kopf-Rennen
Ebenfalls bedeutsam ist die Quelle der Lücke. Entscheidend hierbei ist die Antwort auf die Frage, ob der Hersteller die Schwachstelle selbst entdeckt hat und so genug Zeit bekam, sie in Ruhe zu schließen. Deutlich gefährlicher sind Bugs, deren Details frei im Netz kursieren. Denn dann beginnt ein Wettlauf zwischen den bösartigen Hackern und dem Hersteller, der unter Zeitdruck ein Update programmieren und vor allem testen muss.
Die Aufstellung der für einen soliden Report relevanten Faktoren macht deutlich, wie viel Arbeit in eine verlässliche Bug-Statistik fließen müsste. Bislang hat keiner der Verfasser wirklich all die wichtigen Faktoren beachtet. Insofern sollten die mit viel Öffentlichkeitswirksamkeit versehenen Statistiken mit Vorsicht genossen werden.
Was wiederum nicht heißen soll, dass es keine guten, aussagekräftigen IT-Sicherheitsreports gibt. Es gibt nicht nur die genannten Bug-Erhebungen, sondern Reports zu allen möglichen Aspekten: Spam, Malware, Web-Exploits usw.
Im Folgenden eine – wahrscheinlich unvollständige – alphabetisch sortierte Liste der bekanntesten Reports. Die Aufstellung wurde sorgfältig recherchiert. Es kann natürlich dennoch sein, dass der ein oder andere Bericht fehlt. Dies ist keine Absicht, sondern ein Versehen.
- Bit9 Top Vulnerable Applications for IT | Bit9 ermittelt anhand verschiedener Faktoren die am stärksten von Bugs betroffenen Applikationen.
- Cloud Security Alliance Top Threats Report | Halbjährlich veröffentlichter Bericht, der die für Cloud-Anwendungen relevanten Gefahren zusammenträgt.
- Cisco Security Report | Cisco betrachtet IT-Sicherheit speziell durch die Brille von Geschäftskunden und IT-Entscheidern.
- eleven E-Mail Security Reports | Deutschsprachige Zusammenfassungen von Spam– und Malware-Trends.
- IBM x-Force Trend and Risk Report | Zwei Mal pro Jahr gibt IBM einen Überblick über ein breites Gefahrenspektrum wie Softwareschwachstellen, Malware, Phishing und Cybercrime-Aktionen.
- McAfee Threats Report | Auf Deutsch erhältliche Reports zu verschiedensten Malware-Bedrohungen.
- MessageLabs Intelligence Report |Auf Spam spezialisierter Report
- Microsoft Security Intelligence Report | Zwei Mal pro Jahr erscheinender Report, der Auskunft gibt über die weltweite, allgemeine Bedrohungslage durch Schadsoftware auf PCs.
- SANS Top Cyber Security Risks | Das SANS Institute erfasst in diesen Bericht Attacken auf Unternehmensnetzwerke.
- Sophos Threat Report | Übersicht der neuesten Cyberattacken.
- Symantec Internet Security Threat Report | Einmal pro Jar erscheinender Report zu den wichtigsten Trends rund um Schadsoftware und Cybercrime. Einmal pro Quartal veröffentlicht Symantec Ergänzungen und Aktualisierungen zum Jahresbericht.
- Trustwave Global Security Report | Dem Trustwave-Report liegen Analysen von realen Attacken auf Kundennetzwerke und echte Datenpannen zugrunde.
- Veracode State of Software Security Report | Untersuchung verschiedenster Anwendungsarten (Komponenten, Bibliotheken, Web- und Offline-Anwendungen) hinsichtlich ihrer Sicherheit.
- Verizon Business Data Breach Investigations Report | Verizon Business analysiert reale Datenpannen und arbeitet heraus, wie es zu diesen kommen konnte. Am Report 2010 hat der US Secret Service mitgearbeitet und eigene Erkenntnisse mit einfließen lassen.
Gerne übersehen beim Erstellen der Reports ist der Punkt automatische Updates. Hat ein betroffenes Produkt eine solche Funktion, können Updates schnell und sogar ohne Zutun des Nutzers verteilt werden. Die Zeitspanne, in der ein angreifbares Produkt schutzlos genutzt wird, verringert sich beträchtlich. Gibt es keinen Automatismus, müssen Anwender bzw. IT-Abteilungen selbst regelmäßig die Webseiten der Hersteller prüfen. Alternativ hilft ein Tool wie Secunia PSI, das den Check automatisch erledigt und für den privaten Einsatz gratis ist.
Fazit: Vernebelte Datenbasis
Ein grundsätzliches Problem für die Ersteller der Bug-Reports besteht darin, dass längst nicht alle Softwarehersteller Bugs sofort nach deren Auftauchen kommunizieren. Die Mozilla Foundation macht jegliche Schwachstelle öffentlich, ganz egal, ob sie von einem externen Sicherheitsforscher oder einem zum Projekt gehörenden Programmierer entdeckt wurde. Microsoft und andere Anwendungs- und Betriebssystemlieferanten schaffen intern entdeckte Lücken ohne Information der Öffentlichkeit aus der Welt. Daher bleibt eine Statistik immer lückenhaft.
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing
