Sicherheitslücken 2014: OS X, iOS und Linux hatten mehr als Windows

Hört man von Sicherheitslücken in Systemen oder Anwendungen, denken viele automatisch an Windows. Daten der National Vulnerability Database für 2014 belegen allerdings, dass Windows gar nicht so anfällig ist. Insgesamt waren die Betriebssysteme sowieso nur für 13 Prozent der Sicherheitslücken verantwortlich, ein Großteil dieser wird über Drittanbieter-Programme ausgeliefert. Die meisten Lücken zeigte Apples OS X, direkt gefolgt von Apples iOS. Auf Platz 3 landet Linux, erst dann folgen WIndows-Systeme, wobei Windows 8 / 8.1 erst auf Platz 7 erscheint.

NVD_01

Was Microsoft allerdings im System an Lücken einspart, wird mit dem Internet Explorer wieder ausgeglichen. 242 Sicherheitslücken wurden für den Microsoft Browser 2014 entdeckt, 220 davon sind sogar als hoch eingestuft. Interessant: Der Adobe Flash Player, ebenfalls als Scheunentor für Angreifer bekannt, lieferte nur 76 Lücken, landet damit hinter Googles Chrome Browser und Mozillas Firefox, wobei hier wiederum Firefox weniger Lücken hat, die als hoch eingestuft werden.

NVD_02

Linux traf es 2014 besonders hart, da einige der schwersten Lücken (Heartbleed, Shellshock) auf diesem System entdeckt wurden. Generell sind Lücken umso gefährlicher, je weiter ein betroffenes System verbreitet ist. Umso wichtiger ist es, Systeme und Anwendungen auf dem neuesten Stand zu halten. Wird heutzutage eine Lücke entdeckt (und publik gemacht) dauert es in der Regel nicht lange, bis diese gepatcht ist. Gefahr geht dann nur noch von Systemen / Anwendungen aus, die nicht aktuell gehalten werden.

NVD_03

(Quelle: GFI)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

42 Kommentare

  1. Sehr guter Artikel Sascha!!

  2. Und da Windows und der IE quasi miteinander verzahnt sind (wer nutzt schon eine ’n‘ Version) ergibt das ganze dann für Microsoft einen Highscore von ca. 278, weit vor allen anderen Kombi’s (OS + Browser)

  3. Klar, wenn man Mac OS X und Linux stumpf als einen Punkt zusammenfasst und bei Windows jede Version einzeln aufführt.
    So bleibt die Statistik leider recht aussagelos.

  4. Warum 1 Stück Mac OS X , IOS und Linux , Windows wird unterteilt in7, 8 8,1 usw. Also traue keiner Statistik die man nicht selbst gemacht hat.

  5. @Werner:
    Selbst in einer N Version kann man den IE nicht deinstallieren weil er von vielen Programmen zur Webseitenanzeige benutzt wird. Oder liege ich hier komplett daneben?

  6. Bei den Systemen wird – richtig – differenziert. Bei den Applikationen dann aber alles zusammengewürfelt.
    Welcher Explorer hatte denn die vielen Lücken? Dort werden vorsintflutliche Altlasten (IE vor 11) mit modernen Versionen zusammengezählt.

  7. Josef Türk says:

    Guter Artikel. Hatte das Ergebnis nicht erwartet.

  8. Die Reihenfolge überrascht mich auch etwas (2013 standen z.B. die MS-Betriebssysteme weit vorne, 2012 iOS). Gerade bei Sicherheitslücken in Anwendungen müsste man aber theoretisch noch beachten, inwiefern das Betriebssystem (durch entsprechende Rechtekonzepte) Schlimmeres verhindern kann (oder eben auch nicht).
    Interessant wäre auch eine Statistik, wie viel Zeit die jeweiligen Hersteller für entsprechende Patches benötigten.
    Bei GfI (der Quelle dieses Artikels) kann man sich mit dem Suchterm „Most vulnerable operating systems and applications“ die Statistiken der letzten Jahre anschauen.

  9. @Balou
    die Fehler sind zu 90+% auf 7/8/8.1 identisch – zusammenzählen kann man da nicht weil das fast alles die selben Fehler sind, im Endeffekt bleibt es dann bei der Anzahl +1 oder 2.

    Was erstaunlich ist das Apple in der Sicherheit scheinbar noch viel weiter hinten liegt als man eigentlich denkt. Man hat so viele schwere Fehler (anzunehmen das es sich bei solchen Sachen um Vollzugriff dreht die bei jedem richtig viel Schaden machen können) wie Win + Linux zusammen – das ist gelinde gesagt erschreckend.

    Erschreckend ist auch die Technische Versiertheit des Autors in manchen Absätzen.
    „Linux traf es 2014 besonders hart, da einige der schwersten Lücken (Heartbleed, Shellshock) auf diesem System entdeckt wurden.“ – von Heartbleed betroffene Systeme waren – Win95-8-Server / alle Linux Derivate / Unix / BSD / MacOS / … weil oh Schreck OpenSSL fast überall drin steckt. Fast das selbe ist bei Shellshock, da es sich auch hier um eine Software handelt die auf was allen Betriebssystemen vorhanden ist (außer Win).

    Der Zusammenhang zwischen den schweren Lücken in Flash und gar nicht so schlecht erschließt sich mir auch nicht. Wenn eine kleine poplige Software doppelt so viele schwere Sicherheitslücken hat (mit dem man dann sicherlich das ganze System übernehmen könnte) wie ein gesamtes Betriebssystem (Linux/Win) dann finde ich das nicht wenig. Das ist eher extrem erschreckend viel !

  10. @werner
    Sorry, das ist Schwachsinn, Ich habe Windows und den IE habe ich noch NIE benutzt. Was der für Sicherheitslücken hat ist mir total Wumpe.

    Der Standardbrowser ist bei mir FF. Wie der IE überhaupt aussieht ist mir völlig unbekannt – ich habe ihn noch nie benutzt oder gesehen. Die meisten nutzen eh FF oder CHROME.

    Interessant wie ein Apple oder Linux Fanboy da gleich mal irgendwas verdreht. Ist schon ärgerlich das beide Apple Betriebssysteme da oben sind, gleich gefolgt von Linux. Fakten sind manchmal Mist wie?

    Wie auch immer, hätte ich ein Apple Gerät oder Linux würde mir diese Statistik trotzdem keine neuen Sorgen machen.

  11. @Norbert:
    der Internet Explorer ist aber noch immer ein sehr weitverbreiteter Browser. und definitiv keine Randerscheinung.

  12. Neben den genannten Unstimmigkeiten der Statistik fehlen mir auch Angaben zum durchschnittlichen Fix-Dauer der verantwortlichen Entwickler.

    Eine High-Risk-Vulnerability ist nämlich relativ unkritisch, wenn sie binnen weniger Tage gefixt und auch zeitnah an alle betroffenen User verteilt wird.
    Ich hab kein Problem damit, wenn auf meinem System Zweihunderthastenichgesehen Fehler gefunden werden, wenn der passende Patch recht schnell kommt.
    Ein größeres Problem sind die 2-3 Fehler, die teilweise über mehrere Jahre weitergetragen werden und für die es in der freien Wildbahn schon zahllose Exploits gibt.

    Ebenfalls sollte man durchaus in Betracht ziehen, inwieweit schon das Betriebssystem selbst die (dauerhafte) Infektion durch Malware zu verhindern weiß.

    Hier stehen Linux und OSX immer noch recht alleine auf der positiven Seite.
    So lange Microsoft an solchen Krankheiten wie ActiveX-Scripting leidet und Hinz und Kunz erlaubt, in die Registry zu kacken, wird sich da in Redmond auch auf mittlere Sicht nichts wesentliches ändern.

    Wobei man Microsoft zweifellos zugestehen muss, dass Windows 8 aus sicherheitstechnischer Sicht ein ganz beachtlicher Schritt nach vorne war.

  13. „Wird heutzutage eine Lücke entdeckt (und publik gemacht) dauert es in der Regel nicht lange, bis diese gepatcht ist. Gefahr geht dann nur noch von Systemen / Anwendungen aus, die nicht aktuell gehalten werden.“

    Naja, das hört sich natürlich schon etwas verharmlosend an.

    Entdeckt werden die Lücken ja meistens zuerst von kriminellen Hackern oder Geheimdiensten. Die nutzen die dann auch fleissig und millionenfach.

    Irgendwann wird von irgendjemand die Lücke veröffentlicht bzw.an die Entwickler gemeldet. Erst dann kann die Lücke gefixt werden – was auch noch dauert.

    Bis dahin war die Lücke für die Entdecker offen. Und da diese Infos auch verkauft werden, auch für andere.

    Die Lücke kann also bereits Jahre lang genutzt worden sein … bevor die Öffentlichkeit davon je was gehört hat.

    Und auch danach wird die Lücke noch genutzt, es werden viele System nicht oder sehr spät gefixt.

  14. @Michael Slomma:
    Also bei Linux unterschreibe ich dir sicherheitstechnisch sofort ziemlich viel. Aber OSX ist weit davon entfernt, da wäre man technisch gesehen mit Windows XP ohne Service Pack besser unterwegs^^

  15. @mini
    Das habe ich auch nicht bestritten. Klar der IE liegt noch bei etwa 12%. Aber ich kennen NIEMANDEN der den noch nutzt. Selbst mein Vater (der ist 78) nutzt Firefox.

  16. @ Norbert

    Die Aussage ist nicht korrekt. Selbst wenn du den IE nicht aktiv nutzt, so wird er, wie von Marcel richtig angemerkt dennoch vom „System“ benutzt. Ohne dass du es merkst.

  17. Die gefährlichen Sicherheitslücken werden nur beim Browsen im Web wirklich relevant. Weil wie soll sonst jemand aus dem Web an den IE rankommen? Der Browser wird doch zuerst angegriffen.

    Ob der IE beim Anzeigen der Windows Hilfe benutzt wird oder so ist doch irrelevant in diesem Fall.

  18. Diese Statistik ist ungenau. Seit wann gehört OpenSSH in den Linux-Kernel? Und wieso werden bei Windows die Versionen getrennt, aber bei OS X und Linux nicht? Und wie werner schon erkannt hat: Wer Windows hat, hat auch den IE vorinstalliert.

  19. Windows wird nach OS-Version aufgeschlüsselt, aber der Rest nicht…? Hätte man ja auch mal im Artikel erwähnen können. Oder, dass alle Windows-Lücken entweder schwerwiegend oder mittelschwer sind. Kann den ersten Kommentaren nur zustimmen, „toller“ Artikel.

  20. @Kein Name *OpenSSL meinte ich natürlich (Heartbleed)

  21. @namerp,

    „die Fehler sind zu 90+% auf 7/8/8.1 identisch – zusammenzählen kann man da nicht weil das fast alles die selben Fehler sind“
    – Würde das Zusammenzählen dann nicht erst Sinn machen? Oder versteh ich da was falsch?

    Ich finde den Artikel aus oben genannten Gründen auch eher durchwachsen. Dass Apple was die Systemsicherheit angeht nicht so gut aufgestellt ist überrascht jedoch nicht und ist in einschlägigen Kreisen schon lange bekannt. Ich bin mir aber sehr sicher, dass man – würde man bei Linux Distris mal gucken – dort mit Ausnahmen sehr viele Lücken finden würde. Teilweise ist der Code da auch echt schlecht.

  22. Der Artikel und die Statistiken sind ja wohl eher Blödsinn.
    Zunächst wird Windows aufgeteilt in die einzelnen Versionen, OSX und Linux aber nicht.
    Dabei würde es gerade bei Linux etwa Sinn machen, schließlich gibt es da nicht umsonst massig Distributionen, die mit sehr verschiedenen Versionen des Kernels arbeiten. Zudem haben nicht umsonst viele Distributionen eine LTS Versionen, die auf Sicherheit und Stabilität anstelle von unbedingter Aktualität setzt…

    Und dann sprichst du in deinem Artikel bezüglich Linux von Heartbleed und Shellshock… Was haben die denn bitte mit dem Linux Kernel zu tun?Die Lücken mögen zwar bei den meisten Linux Systemen präsent gewesen sein, der OpenSSL und Bash Bug traten aber natürlich überall auf wo die jeweilige Software installiert war und nicht exklusiv auf Linux.

    Wenn Software in der Statistik eine Rolle spielt, gehört aber natürlich auch der Internetexplorer oder auf vielen Rechnern vorinstallierte Malware wie die Lenovo/Superfish Geschichte erwähnt.

  23. Wie sich hier manche wieder auf den Schlips getreten fühlen, hihi.

  24. Was ist denn eigentlich mit Android?

  25. @Sascha:
    Du machst leider einen Fehler beim Windows OSX/Linux Vergleich. Die Gesamtheit ist irrelevant. Für den Vergleich sind nur Hochrisiko und je nach Abstufung die Medium-Risikofehler relevant.

  26. Linux und Appleboys to the rescue. Microsoft macht vieles richtig, deal with it.

  27. Also ich habe hier mal gelesen, dass der Marktanteil/Verbreitungsgrad nicht unbedingt das mit der Sicherheit des Systems zu tun hat.
    http://www.macmark.de/osx_security.php#scheinargument_marktanteil

  28. Ich halte die Zahlen (bzw. den Vergleich auf diese Art) für absoluten Quatsch. Ich würde gern mal eine Liste der sogenannten Sicherheitslücken sehen.
    Nur 13% der Lücken basieren auf dem OS? Wer weiß, was da alles drunter fällt. Gerade die „Sicherheitslücken“ der Drittanbieter Software unter iOS wäre interessant. Was soll ich mir denn darunter vorstellen.

  29. Richtige News um die fanboys zu ergern ?

  30. und die „ergerst“ alle Schlauen… tut ja im Kopf weh

  31. So, habe die ios Sicherheistlücken mal überflogen. Was dabei rauskommt: Wenn man mehr Sicherheit anbietet, gibt es auch mehr Sicherheitslücken. Vieles bezieht sich darauf, dass installierte (!) Apps aus ihrer Sandbox ausbrechen können.

  32. @Fabian OSX ist auch nur eine Version es gab nämlich vorher auch die Versionen OS9 oder OS8 vergleichbar mit älteren Windows Versionen nur sind die aufgrund der Hardwarebindung halt im Prinzip anders als Vista oder XP nicht mehr vorhanden. Alle Updates unter dem Namen OSX sind eher mit Windows Updates oder Service Packs vergleichbar.

  33. hier sollte nicht nur auf reine zahlen geachtet werden, sondern auch, wie schnell die Lücken behoben werden. ich wette, da würde Microsoft am schlechtesten abschneiden.

    Außerdem sollte man Windows und Internet zusammen betrachten, da es miteinander verzahnt ist.

  34. Was bitte ist das denn für eine sinnbefreite Statistik? So einen Unsinn hab ich ja noch nie gelesen. Wurde die Statistik vielleicht von Microsoft in Auftrag gegeben?
    Welche Aussage soll denn hier suggeriert werden? Etwa, dass Windoof nun doch das sicherste OS ist? Tut mir leid aber das ist und kann nicht sein!
    Fest steht, dass kein OS frei von Lücken ist. Aber entscheidender sind die Reaktionszeiten für die Bereitstellung des Patches, Verbreitung des OS und ob die erkannten Lücken übeehaupt Schaden verursacht haben. Bezüglich Linux muss zudem zwischen den Desktop und Server Versionen unterschieden werden.

  35. Apple lässt sich bem Beheben von Sicherheitslücken sehr viel Zeit. Oft passiert erst auf öffentlichen Druck etwas. Das Problem ist eben, dass Apple das „gefühlte“ Image in der Öffentlichkeit wichtiger ist als die wirkliche Sicherheit seiner User.

  36. Ich habe heute mal wieder einen Windows Vista Rechner von Viren, Trojanern, Spywarw, AdWare, Malware säubern müssen. Letzte Woche war es ein Windows XP Rechner.

    Heute waren es mal wieder 2 hartnäckige Schädlinge. Der hochgelobte Bitdefender hat nur einen Teil erkannt und entfernt. Die kostenlose Free Version von MalwareBytes Anti-Malware hat auch nur einen Teil erkannt und entfernt.

    Zwei hartnäckige haben sich gut eingenisst und haben sich im Dateinamen, anscheinend per Zufallsprinzip, ständig geändert. Per Registry versuchte ich diese aus dem Autostart zu nehmen, aber sie kann kurz nach dem Entfernen sofort wieder. Außerdem konnte man diese Prozesse nicht abschalten, weil sie im Taskmanager erst gar nicht zu sehen waren.

    Einer Dritter hat sich als Windows Installer eingenistet. Den konnte ich mit MalwareBytes gut entfernen, während Bitdefender völlig versagt hat.

    Die anderen beiden ebenfalls hartnäckigen, dazu musste ich Windows im abgesicherten Modus mit CMD Konsole starten und dann per Kommandozeilen die Dateien erst entfernen, bevor sie geladen wurden. Danach habe ich Windows neugestartet und konnte die Autostart-Einträge problemlos ohne Wiederkehr entfernen.

    Was hier unter Vista möglich war, wird sicherlich auch unter Windows 7, Windows 8 möglich sein. Abgesehen davon taugt der Windows Defender ebenfalls nicht viel.

    Wie kamen die Schädlinge auf das OS? Ich konnte es hier gut reproduzieren, es war einmal eine E-Mail über outlook.com, die mein Kollege geöffnet hatte. outlook.com hatte diese E-Mail nicht durch den Virenscanner gefiltert. Bitdefender hat es ebenfalls nicht erkannt. Das Ergebnis von Windows Defender war noch schlechter, denn der hat gar nichts erkannt.

    Weiterhin halt die gänglichen harmlosere Varianten, die man sich über die berüchtigten Streaming Portale einfangen kann. Vermeintliche Optimierungs-Tools, Virenscanner, Speed Analyse Tools usw., welche sich in den Browsern als Plugins einnisten.

    Unter Windows habe ich schon alles erlebt, hartnäckige Viren vom Feinsten, Keylogger welche meine Internet-Banking Eingaben usw. mitgeloggt haben.

    Mein Vater hat mal von seinem Windows 7 Notebook, weil es längere Zeit nicht genutzt wurde, das Benutzerkonto Kennwort vergessen. Der Reset des Kennworts mit Linux Live-CD war unglaublich einfach. Einfach 2 Dateien vertauschen im Windows-Systemverzeichnis, einen Button im Anmelde-Screen anklicken und eine Befehlszeile in der CMD, das wars. Wie war das noch mit Windows ist sicher?

    Auf OS X habe ich mit Viren noch nie ein Problem gehabt, weil hier wohl das Prinzip ein wenig anders ist. Sicher gibt es für OS X derzeit noch nicht so eine Masse an Schädlingen, wie beim weit verbreitenden kommerziellen OS Windows. OS X erfordert auch für tiefere Eingriffe durch Software im System ein Administrator Kennwort. Bei Windows kann man das auch so konfigurieren, aber man „muss“ es erstmal halt konfigurieren, denn die meisten Nutzer von Windows haben einen oder mehrere Benutzerkonten mit Administrator-Rechten. Wenn hier irgendwo tieferer Eingriff erfolgt, dann kommt eine Dialogmeldung zur Bestätigung (halt ohne Kennwort). Bei OS X hingegen muss ich mein Kennwort eingeben.

    Aber generell wird für Linux, OS X und Windows zwei Benutzerkonten empfohlen. Eines mit Administrator-Rechten und sicherem Kennwort und ein Benutzerkonto zum Arbeiten.

    Ich wünsche mir aber auch selbst, dass Apple in punkto Sicherheit zu nächsten neuen OS X Versionen richtig was tut. Das war bei Windows ja auch nicht anders, Windows XP, Windows Vista galten als unsicher, erst mit Windows 7 gab es richtig Zunder seitens Microsoft in punkto Sicherheit.

  37. Achso am Rande noch: Ich habe Adobe Flash Player auf OS X und einigen Windows Systemen deinstalliert. Auf einigen Videoportalen oder Social Media Netzwerken habe ich noch Probleme, dass der Flash Player fehlt, aber viele haben schon auf HTML5 umgestellt. Bei YouTube, einigen Film-Streaming Portalen habe ich keine Probleme. Bei Google Chrome ist der Adobe Flash Player built-in. Kann man über chrome://plugins deaktivieren. Unter Microsoft Windows 8 gibt es wohl die Updates für Internet Explorer Adobe Flash über Windows Updates.

    Damit habe ich eine angreifbare Stelle und lästiges Plugin weniger.

  38. Also die Verzahnung von Safari mit OSX und iOS ist auch nicht besser als IE und Windows, wird in der Statistik aber auch nicht gewürdigt.

  39. Schon lustig wie die Leute nun stellenweise aufheulen.
    Weil selbst bei der Aufteilung bei Windows Versionen. Zeigt das Ganze doch. Die Sprüche bzw das bashen von dem einen oder anderen OS. Ist vollkommen sinnfrei.

    Das nimmt sich einfach nix.

    @neofelis
    Es gibt auch massig Leute, die hatten nie was auf ihrem Windows PC.

    Man kann so was einfach nicht verallgemeinern.

    Ich selber brauche zb nicht mal einen Virenscanner. Natürlich scanne ich ab und zu mal. Aber ich haben keinen On Demand Scanner den brauche ich nicht.

    Sikcherheit hängt eher von dem ab der davor sitz. Zugegeben mache müsste man vor sich selber schützen. 🙂

  40. Warum der Artikel wie so oft auf Stadt Bremerhaven Grütze ist: http://www.1337core.de/windows-sicherer-als-mac-os-x-und-linux11-ich-schwoere1/

    Außer mit reinem Sensationsjournalismus ist das echt nicht zu begründen, warum man dazu überhaupt einen Artikel abseits von Entwicklerblogs schreibt.

  41. Das ist eine komplette Irreführung und Missinterpretation der aufgeführten Ergebnisse. Umso ärgerlicher, wenn ein so erfolgreiches Blog es so verbreitet.
    Der ganze Artikel ist unüberlegt übernommen und auf den schnellen Klick geschrieben. Mit Verlaub, ein Schmierenstück.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.