Das deutsche Bundesamt für Sicherheit in der Informationstechnik hat Zahlen zum Sicherheitslücken-Stopfverhalten großer IT-Firmen veröffentlicht. Aber wie deutet man sie? Hat Apple ein größeres Sicherheitsproblem als Oracle (mit Java SE Development Kit) oder ein höheres Sicherheitsbewusstsein? Ist ein Auto, das häufig in Reparatur ist, sicherer als eines, das nie repariert wurde? Diese Zahlen stammen aus dem BSI-Bericht zur Lage der IT-Sicherheit in Deutschland 2015, erschienen am 19. November 2015.
Gute Frage: Ist es gut, dass Apple die ganzen Sicherheitslücken stopft? Oder ist es schlecht, dass es überhaupt so viele gibt?
Quelle: Engadget.com
Anzeige
„Hat Apple ein größeres Sicherheitsproblem als Oracle (mit Java SE Development Kit) oder ein höheres Sicherheitsbewusstsein?“
Spannende Frage: Ist ein Apfel schlechter als eine Banane, weil er mehr Kerne hat? Die Oracle-Implementierung einer Programmiersprache, von der es bereits Open Source Implementierungen gibt, hat weniger Schwachstellen geschlossen als ein Closed Source Betriebssystem. So What?
In dem Fall bin ich mir zumindest sicher, dass das JDK auch weniger Sicherheitslücken insgesamt hat. Für alle anderen Aussagen der Grafik wäre zumindest die Gesamtzahl der getrackten Bugs weit Aussagekräftiger als die Anzahl der gefixten Bugs. Das kann nämlich auch einfach abhängig von der Projektgröße, dem Öffentlichkeitsstatus der Codebase o.ä. sein.
Die Bezeichnungen für die „übrigen“ Sicherheitslücken ist unglücklich gewählt, da es sich hierbei um nicht kritische Sicherheitslücken handelt. Der Begriff „übrige“ lässt beim Leser schnell die Vermutung aufkommen, dass es sich um nicht geschlossene Lücken handeln würde.
Um auf Steves Frage einzugehen: Es ist gut, dass Apple so viele Lücken schließt, jedoch ist es nicht möglich aus dieser Statistik einen Rückschluss auf Gesamtzahl an Sicherheitslücken des jeweiligen Systems/Programmes zu schließen, da nur die gschlossenen Lücken aufgeführt werden. Eine Gegenüberstellung von geschlossenen Lücken und allen am 03.12.2015 bekannten Sicherheitslücken wäre hierzu notwendig.
Außerdem muss man noch berücksichtigen, dass für Programme und Systeme mit höherer Userzahl meist mehr Lücken entdeckt bzw. gezielt gesucht werden, als bei denjenigen mit niedrigeren Nutzerzahlen. Von daher ist es oft eigentlich wichtiger wie schnell eine Lücke geschlossen wird und nicht wie viele man schließt und dazu gibt diese Statistik leider auch keine Auskunft.
Meiner Meinung nach sagt diese Grafik nicht viel aus. Höchstens wer am fleißigsten Fehler behebt. Ohne jedoch die Gesamtzahl aller Schwachstellen (oder zumindest der entdeckten) zu kennen bringt einen das nicht sonderlich weiter. Zu mal ja auch gar nicht klar ist was eine „Schwachstelle“ genau ist.
Interessant finde ich die Aufteilung zwischen Acrobat und Reader. Anscheinend ist die Software die PDFs erstellen und anzeigen kann genauso viele Fehler wie die Software die nur anzeigt.
Auch interessant: in einem Browserplugin mehr Schwachstellen als im Browser und im Browser mehr als im Betriebssystem.
Wo ist Linux ?
ach sry falsch gelesen
Versteh ich nicht, um was genau geht es hier denn? In Sachen Virenanfälligkeit und co.? Warum sollte man was schließen, dass eh nicht angegriffen wird ( OSX) oder versteh ich da was falsch? Bin auch nur ein Laie
Da sieht man mal wieder, wie gefährlich doch der flash player ist.
Man sieht auf jeden Fall das Apple die meiste Arbeit hat/macht 🙂 Aber der Flashplayer ist doch das große Sieb, da wundert mich das Ranking schon etwas.
Das Argument, dass ich von vielen Apple-Jüngern, iOS und OS X seien halt einfach sicherer als Windows, zählt halt so nicht mehr. Man sieht ja, dass trotzdem noch viele Lücken offen bleiben.
Hab letztens auch erst eine Statistik zu Mobilen Gefahren gesehen. Demnach ist iOS eben auch das unsicherste mobile Betriebssystem.
und genau das kann man aus dieser Grafik nicht entnehmen. Da mehr geschlossene Schwachstellen ja nicht automatisch mehr entdeckte Schwachstellen bedeuten muss. Vielleicht sind in Windows einfach noch mehr offen. Vielleicht hat es tatsächlich weniger… Man weis es nicht
Was wirklich merkwuerdig ist, dass die Luecken in Safari nicht geschlossen sind…
Ah falsch, hab „uebrige“ falsch interpretiert.
Du liest das Ding falsch. Es sind alles geschlossene Schwachstellen. Die Farben stellen die Unterteilung in „kritisch“ und „weniger kritisch“ dar.
@Steve:
„Ist es gut, dass Apple die ganzen Sicherheitslücken stopft? Oder ist es schlecht, dass es überhaupt so viele gibt?“
Es ist gut, dass Apple die Dinger stopft. Es ist schlecht, dass es so viele gibt. Warum sollte sich das ausschließen?