Sicherheitslücken 2014: OS X, iOS und Linux hatten mehr als Windows
Hört man von Sicherheitslücken in Systemen oder Anwendungen, denken viele automatisch an Windows. Daten der National Vulnerability Database für 2014 belegen allerdings, dass Windows gar nicht so anfällig ist. Insgesamt waren die Betriebssysteme sowieso nur für 13 Prozent der Sicherheitslücken verantwortlich, ein Großteil dieser wird über Drittanbieter-Programme ausgeliefert. Die meisten Lücken zeigte Apples OS X, direkt gefolgt von Apples iOS. Auf Platz 3 landet Linux, erst dann folgen WIndows-Systeme, wobei Windows 8 / 8.1 erst auf Platz 7 erscheint.
Was Microsoft allerdings im System an Lücken einspart, wird mit dem Internet Explorer wieder ausgeglichen. 242 Sicherheitslücken wurden für den Microsoft Browser 2014 entdeckt, 220 davon sind sogar als hoch eingestuft. Interessant: Der Adobe Flash Player, ebenfalls als Scheunentor für Angreifer bekannt, lieferte nur 76 Lücken, landet damit hinter Googles Chrome Browser und Mozillas Firefox, wobei hier wiederum Firefox weniger Lücken hat, die als hoch eingestuft werden.
Linux traf es 2014 besonders hart, da einige der schwersten Lücken (Heartbleed, Shellshock) auf diesem System entdeckt wurden. Generell sind Lücken umso gefährlicher, je weiter ein betroffenes System verbreitet ist. Umso wichtiger ist es, Systeme und Anwendungen auf dem neuesten Stand zu halten. Wird heutzutage eine Lücke entdeckt (und publik gemacht) dauert es in der Regel nicht lange, bis diese gepatcht ist. Gefahr geht dann nur noch von Systemen / Anwendungen aus, die nicht aktuell gehalten werden.
(Quelle: GFI)
Sehr guter Artikel Sascha!!
Und da Windows und der IE quasi miteinander verzahnt sind (wer nutzt schon eine ’n‘ Version) ergibt das ganze dann für Microsoft einen Highscore von ca. 278, weit vor allen anderen Kombi’s (OS + Browser)
Klar, wenn man Mac OS X und Linux stumpf als einen Punkt zusammenfasst und bei Windows jede Version einzeln aufführt.
So bleibt die Statistik leider recht aussagelos.
Warum 1 Stück Mac OS X , IOS und Linux , Windows wird unterteilt in7, 8 8,1 usw. Also traue keiner Statistik die man nicht selbst gemacht hat.
@Werner:
Selbst in einer N Version kann man den IE nicht deinstallieren weil er von vielen Programmen zur Webseitenanzeige benutzt wird. Oder liege ich hier komplett daneben?
Bei den Systemen wird – richtig – differenziert. Bei den Applikationen dann aber alles zusammengewürfelt.
Welcher Explorer hatte denn die vielen Lücken? Dort werden vorsintflutliche Altlasten (IE vor 11) mit modernen Versionen zusammengezählt.
Guter Artikel. Hatte das Ergebnis nicht erwartet.
Die Reihenfolge überrascht mich auch etwas (2013 standen z.B. die MS-Betriebssysteme weit vorne, 2012 iOS). Gerade bei Sicherheitslücken in Anwendungen müsste man aber theoretisch noch beachten, inwiefern das Betriebssystem (durch entsprechende Rechtekonzepte) Schlimmeres verhindern kann (oder eben auch nicht).
Interessant wäre auch eine Statistik, wie viel Zeit die jeweiligen Hersteller für entsprechende Patches benötigten.
Bei GfI (der Quelle dieses Artikels) kann man sich mit dem Suchterm „Most vulnerable operating systems and applications“ die Statistiken der letzten Jahre anschauen.
@Balou
die Fehler sind zu 90+% auf 7/8/8.1 identisch – zusammenzählen kann man da nicht weil das fast alles die selben Fehler sind, im Endeffekt bleibt es dann bei der Anzahl +1 oder 2.
Was erstaunlich ist das Apple in der Sicherheit scheinbar noch viel weiter hinten liegt als man eigentlich denkt. Man hat so viele schwere Fehler (anzunehmen das es sich bei solchen Sachen um Vollzugriff dreht die bei jedem richtig viel Schaden machen können) wie Win + Linux zusammen – das ist gelinde gesagt erschreckend.
Erschreckend ist auch die Technische Versiertheit des Autors in manchen Absätzen.
„Linux traf es 2014 besonders hart, da einige der schwersten Lücken (Heartbleed, Shellshock) auf diesem System entdeckt wurden.“ – von Heartbleed betroffene Systeme waren – Win95-8-Server / alle Linux Derivate / Unix / BSD / MacOS / … weil oh Schreck OpenSSL fast überall drin steckt. Fast das selbe ist bei Shellshock, da es sich auch hier um eine Software handelt die auf was allen Betriebssystemen vorhanden ist (außer Win).
Der Zusammenhang zwischen den schweren Lücken in Flash und gar nicht so schlecht erschließt sich mir auch nicht. Wenn eine kleine poplige Software doppelt so viele schwere Sicherheitslücken hat (mit dem man dann sicherlich das ganze System übernehmen könnte) wie ein gesamtes Betriebssystem (Linux/Win) dann finde ich das nicht wenig. Das ist eher extrem erschreckend viel !
@werner
Sorry, das ist Schwachsinn, Ich habe Windows und den IE habe ich noch NIE benutzt. Was der für Sicherheitslücken hat ist mir total Wumpe.
Der Standardbrowser ist bei mir FF. Wie der IE überhaupt aussieht ist mir völlig unbekannt – ich habe ihn noch nie benutzt oder gesehen. Die meisten nutzen eh FF oder CHROME.
Interessant wie ein Apple oder Linux Fanboy da gleich mal irgendwas verdreht. Ist schon ärgerlich das beide Apple Betriebssysteme da oben sind, gleich gefolgt von Linux. Fakten sind manchmal Mist wie?
Wie auch immer, hätte ich ein Apple Gerät oder Linux würde mir diese Statistik trotzdem keine neuen Sorgen machen.
@Norbert:
der Internet Explorer ist aber noch immer ein sehr weitverbreiteter Browser. und definitiv keine Randerscheinung.
Neben den genannten Unstimmigkeiten der Statistik fehlen mir auch Angaben zum durchschnittlichen Fix-Dauer der verantwortlichen Entwickler.
Eine High-Risk-Vulnerability ist nämlich relativ unkritisch, wenn sie binnen weniger Tage gefixt und auch zeitnah an alle betroffenen User verteilt wird.
Ich hab kein Problem damit, wenn auf meinem System Zweihunderthastenichgesehen Fehler gefunden werden, wenn der passende Patch recht schnell kommt.
Ein größeres Problem sind die 2-3 Fehler, die teilweise über mehrere Jahre weitergetragen werden und für die es in der freien Wildbahn schon zahllose Exploits gibt.
Ebenfalls sollte man durchaus in Betracht ziehen, inwieweit schon das Betriebssystem selbst die (dauerhafte) Infektion durch Malware zu verhindern weiß.
Hier stehen Linux und OSX immer noch recht alleine auf der positiven Seite.
So lange Microsoft an solchen Krankheiten wie ActiveX-Scripting leidet und Hinz und Kunz erlaubt, in die Registry zu kacken, wird sich da in Redmond auch auf mittlere Sicht nichts wesentliches ändern.
Wobei man Microsoft zweifellos zugestehen muss, dass Windows 8 aus sicherheitstechnischer Sicht ein ganz beachtlicher Schritt nach vorne war.
„Wird heutzutage eine Lücke entdeckt (und publik gemacht) dauert es in der Regel nicht lange, bis diese gepatcht ist. Gefahr geht dann nur noch von Systemen / Anwendungen aus, die nicht aktuell gehalten werden.“
Naja, das hört sich natürlich schon etwas verharmlosend an.
Entdeckt werden die Lücken ja meistens zuerst von kriminellen Hackern oder Geheimdiensten. Die nutzen die dann auch fleissig und millionenfach.
Irgendwann wird von irgendjemand die Lücke veröffentlicht bzw.an die Entwickler gemeldet. Erst dann kann die Lücke gefixt werden – was auch noch dauert.
Bis dahin war die Lücke für die Entdecker offen. Und da diese Infos auch verkauft werden, auch für andere.
Die Lücke kann also bereits Jahre lang genutzt worden sein … bevor die Öffentlichkeit davon je was gehört hat.
Und auch danach wird die Lücke noch genutzt, es werden viele System nicht oder sehr spät gefixt.
@Michael Slomma:
Also bei Linux unterschreibe ich dir sicherheitstechnisch sofort ziemlich viel. Aber OSX ist weit davon entfernt, da wäre man technisch gesehen mit Windows XP ohne Service Pack besser unterwegs^^
@mini
Das habe ich auch nicht bestritten. Klar der IE liegt noch bei etwa 12%. Aber ich kennen NIEMANDEN der den noch nutzt. Selbst mein Vater (der ist 78) nutzt Firefox.
@ Norbert
Die Aussage ist nicht korrekt. Selbst wenn du den IE nicht aktiv nutzt, so wird er, wie von Marcel richtig angemerkt dennoch vom „System“ benutzt. Ohne dass du es merkst.
Die gefährlichen Sicherheitslücken werden nur beim Browsen im Web wirklich relevant. Weil wie soll sonst jemand aus dem Web an den IE rankommen? Der Browser wird doch zuerst angegriffen.
Ob der IE beim Anzeigen der Windows Hilfe benutzt wird oder so ist doch irrelevant in diesem Fall.
Diese Statistik ist ungenau. Seit wann gehört OpenSSH in den Linux-Kernel? Und wieso werden bei Windows die Versionen getrennt, aber bei OS X und Linux nicht? Und wie werner schon erkannt hat: Wer Windows hat, hat auch den IE vorinstalliert.
Windows wird nach OS-Version aufgeschlüsselt, aber der Rest nicht…? Hätte man ja auch mal im Artikel erwähnen können. Oder, dass alle Windows-Lücken entweder schwerwiegend oder mittelschwer sind. Kann den ersten Kommentaren nur zustimmen, „toller“ Artikel.
@Kein Name *OpenSSL meinte ich natürlich (Heartbleed)