In regelmäßigen Abständen veröffentlichen verschiedene Unternehmen und Organisationen aus dem IT-Sicherheitsumfeld Statistiken, um die vermeintlich „sichersten“ oder „unsichersten“ Anwendungen auszumachen. Meistens wird dazu die Anzahl der veröffentlichten Schwachstellen ausgezählt. Aus den  Ergebnisse lassen sich dann leicht verständliche und vielfach zitierte Listen erschaffen.


Diese Fleißarbeit – das Auswerten der diversen Quellen ist eine zeitraubende Angelegenheit – mag durchaus löglich sein, die Ergebnisse sind aber oftmals leider nicht besonders aussagekräftig. Denn damit IT-Profis, Forscher und Endanwender wirklich Nutzen aus solchen Erhebungen ziehen können, müssen jede Menge Punkte miteinbezogen, ermittelt und ausgewertet werden. Diese Extra-Arbeit wird aber oftmals nicht geleistet.
 
So ist es wichtig zu wissen, wie lange die jeweils betroffenen Hersteller eigentlich benötigten, um die gemeldeten Lücken zu schließen. Selbst eine sehr niedrige Anzahl gemeldeter Bugs kann immense Gefahr für die Nutzer der betroffenen Anwendungen bedeuten, wenn die Lücken nicht schnell aus der Welt geschafft werden.
 
Auch die Quelle der Lücke ist relevant: Hat der Hersteller die Schwachstelle selbst entdeckt und hatte so genug Zeit, sie in Ruhe zu schließen? Oder wurde das Sicherheitsupdate unter Druck entwickelt, weil der Exploitcode in frei zugänglichen Internetforen kursierte und kriminelle Hacker reichlich Zeit hatten, die Lücke zu missbrauchen?
 
Außerdem sollte beim Erstellen der Bug-Statistiken in Betracht gezogen werden, wie leicht die jeweilige Lücke ausnutzbar ist. Microsoft gibt diesen „Exploitability Index“ genannten Wert bei jedem Sicherheitsupdate mit an. Denn so können IT-Profis schnell ersehen, wie wahrscheinlich und weitreichend ein Missbrauch der Schwachstelle wäre. Manche Lücken lassen sich beispielweise nur unter komplexen Umständen missbrauchen und auch nicht aus der Ferne über das Internet. Beispiele hierfür sind die noch vorhandenen Schwachstelle, die durch den Stuxnet-Wurm bekannt wurde, sowie die aktuelle Lücke im Windows-Kernel. Das Ausnutzen beider Schwachstellen setzt voraus, dass der Angreifer bereits beliebigen Code auf dem PC des Opfers ausführen kann. Er muss also zuvor schon auf anderem Weg zumindest teilweise Kontrolle über die Maschine erlangt haben.
 
Nicht außer Acht gelassen werden darf auch die Verbreitung der betreffenden Anwendungen. Eine Lücke in einem weit verbreiteten Produkt wie Microsoft Windows oder Adobe Flash hat ein anderes Gewicht als Schwachstellen in einem Browser mit nur geringem Marktanteil oder einem Instant Messenger, der nur in manchen Teilen der Welt populär ist. Natürlich müssen auch Bugs in den beiden letztgenannten Produkten behoben werden. Aber das Risiko für die weltweite Nutzergemeinde ist in diesen Fällen sicher niedriger.
 
Ein weiterer Punkt, den es zu beachten gilt: Hat das betroffene Produkt eine Möglichkeit zur automatischen Aktualisierung? Denn wenn ja, dann können Updates schnell oder sogar ohne Zutun des Nutzers verteilt werden. Fehlt ein Autoupdater, müssen die Anwender entweder selbst regelmäßig auf den Webseiten der Hersteller der von ihnen eingesetzten Software vorbei schauen. Oder sie sind auf die Dienste einer Software wie Secunia PSI angewiesen.
 
Zu guter Letzt sei noch erwähnt, dass längst nicht alle Softwarehersteller Bugs sofort nach deren Auftauchen kommunizieren. MancherAnwendungs- oder Betriebssystemlieferant schließt die Lücken, ohne dies öffentlich und im Detail zu dokumentieren. Daher bleibt eine Statistik immer lückenhaft.
 
Zieht man all diese relevanten Faktoren in Betracht, wird schnell klar, wie aufwändig eine wirklich aussagekräftige Bug-Statistik ist. Ich jedenfalls habe größten Respekt vor dem, der sich an ein solches Unterfangen wagt. Bis dahin werde ich auch weiterhin mit Interesse die diversen Reports studieren, die von den jeweiligen Sicherheitsexperten erstellt werden. Wobei ich die Resultate immer mit einer gesunden Portion Skepsis betrachten werde.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.