BSI-Test: Verwundbarkeit von Windows-Rechnern im Netz

Windows-Systeme soll man stets auf dem aktuellen Stand halten, beim Browser greift man am besten zu Google Chrome, auf Java verzichtet man möglichst ganz – das predigen sowohl c't als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Was dieses einfache Schutzkonzept tatsächlich bringt, belegt eine vom BSI durchgeführte Untersuchung: Das Bundesamt hat mit zwei Windows-Rechnern insgesamt 100 Webseiten besucht, auf denen sogenannte Drive-by-Downloads lauerten – also Schadcode, der vor allem durch Ausnutzen von Sicherheitslücken verbreitet wird.

Das eine System hat das BSI nach seinen im Frühjahr herausgebenen Empfehlungen zur sicheren Windows-Nutzung konfiguriert. Das andere entsprach einer Konfiguration, die man noch häufig vorfinden dürfte: Zwar war das Betriebssystem dank Windows Update auf dem aktuellen Stand, Adobe Reader, Flash, Java, LibreOffice waren jedoch jeweils mindestens ein Jahr alt. Außerdem war auf dem zweiten System statt Chrome der Internet Explorer 9 als Standardbrowser installiert und statt mit einem eingeschränkten Benutzerkonto wurde mit dem Admin-Account gesurft. Als Virenscanner kamen in beiden fällen die kostenlosen Microsoft Security Essentials zum Einsatz.

Das Ergebnis spricht für sich: Während das verwundbare System nach dem Aufruf der versuchten Webseiten 36 Mal mit Schadcode infiziert wurde, bleibt der nach BSI-Empfehlungen konfigurierte Rechner sauber. In 10 Fällen gelang auf dem verwundbaren System zwar das Ausnutzen von Sicherheitslücken, die eigentliche Infektion wurde jedoch von MSE blockiert. Auf dem sicheren System gelang – aus Mangel an Sicherheitslücken – kein einziger Angriff. Außerdem ließ das BSI auch noch ein XP-System mitlaufen, auf dem der IE6 zum Einsatz kam und weder ein Virenschutz noch die aktuellen Systempatches installiert waren. Das Ergebnis waren 88 Infektionen. (rei)