Unternehmen setzen bei Sicherheits-Updates die Prioritäten falsch

Unternehmen setzen offenbar beim Schließen von Sicherheitslücken in Client-PCs die Schwerpunkte falsch. Obwohl Kriminelle fast nur noch Lücken im Adobe Reader, QuickTime, Adobe Flash und Microsoft Office ausnutzen, um Windows-PCs zu infizieren, verstreicht bis zum Installieren von Sicherheits-Updates doppelt so viel Zeit wie für das Schließen von Lücken in den Betriebssystemen. Zu diesem Ergebnis kommt der Bericht "The Top Cyber Security Risks", der zusammen vom Internet Storm Center (ISC), TippingPoint und Qualys erarbeitet wurde. Die Daten beruhen auf der Auswertung von 6000 von TippingPoint bei Kunden betriebenen Intrusion-Prevention-Systemen sowie auf mehr als 100 Millionen von Qualys durchgeführten Schwachstellenscans bei 9000 Kunden.

Laut Bericht werden 80 Prozent der Windows-Lücken innerhalb von 60 Tagen nach Verfügbarkeit der Updates gepatcht. Bei Anwendungen wie Office, Adobe Acrobat und Java seien dies nach der gleichen Zeit nur zwischen 20 und 40 Prozent. Noch dramatischer sieht dies bei Flash aus: Dort liegt die Patchrate nur zwischen 10 bis 20 Prozent. Zu einem ähnlichen Ergebnis bei Flash-Lücken kam zuletzt auch der Dienstleister Trusteer bei der Überwachung seiner Kunden.

Bei der Verbreitung der Malware helfen Betreiber von Webseiten häufig den Kriminellen unwissentlich und unwillentlich. Aufgrund fehlender Pflege der Server lassen sich vertrauenswürdige Webseiten manipulieren, um etwa Schadcode einzubetten und zu verbreiten. 60 Prozent aller Attacken im Internet richten sich mittlerweile gegen Webserver, um etwa SQL-Injection zu finden und auszunutzen. Mehr als 80 Prozent aller Lücken in Servern entfallen auf SQL-Injection- und Cross-Site-Scripting-Lücken.

IBM kommt in seinem aktuellem halbjährlichem Bericht zu der gleichen Einschätzung: 50 Prozent der Homepages von Heimanwendern sollen mindestens einen verdächtigten Link enthalten. Zudem trifft man auf 20 Prozent der Suchmaschinen, Portale und Verzeichnisse auf URLs, die den Anwender zu infektiösen Seiten führen.

Zusammenfassend lassen sich aus den Ergebnissen zwei Schlüsse ziehen: Keine Seite im Internet ist per se vertrauenswürdig, daher sind Zonenmodelle überflüssig und Sicherheitstipps wie "Besuchen sie nur Seiten, die sie kennen" irreführend. Erst am Wochenende gelang es beispielsweise Betrügern, den Besuchern der New York Times Scareware unterzuschieben. Derartige Vorfälle sind nicht neu und werden künftig vermutlich zunehmen, da Kriminelle auf diese Weise leicht eine große Zahl von Anwendern treffen.

Darüber hinaus gelingt es offenbar weder Administratoren noch Heimanwendern, ihre Systeme auf dem aktuellen Stand zu halten, um Angriffe von Webseiten ins Leere laufen zu lassen. Vermutlich sind schlecht funktionierende und unzureichend erklärte Update-Prozeduren der einzelnen Produkte ein Grund dafür. Untersuchungen zufolge erhöhen stille Updates ohne Nachfrage beim Anwender die Patchrate. Zwar regt sich mitunter Protest ob des unerlaubten Eingriffs in den Rechner, dem Otto-Normal-Anwender dürfte mit dieser Hilfestellung aber mehr gedient sein als mit dem Recht auf sein Update-Selbstbestimmungsrecht.

Programme wie Secunias PSI überwachen wichtige Komponenten wie das Flash-Plug-in, Java oder Browser-Bibliotheken und können dem Anwender einen Eindruck verschaffen, ob das Surfen mit dem System zu einem Wagnis werden kann. Aber auch hier ist die Initiative des Anwenders gefordert, das Programm zu installieren und damit zu arbeiten.

Praktischer wäre es, wenn Microsoft eine Infrastruktur in Windows integrieren würde, die nicht nur auf verfügbare Updates für den Internet Explorer 8, sondern auch etwa für den Adobe Reader hinweisen würde. Mit der Idee beschäftigt sich der Kommentar "Mein Wunschzettel für Windows 7: Updates für Alle" auf heise Security.

Siehe dazu auch:

• Schädliche Werbebanner bei der New York Times, Meldung auf heise Security
• 80 Prozent der Anwender surfen mit verwundbaren Flash-Versionen, Meldung auf heise Security
• Bericht: Phishing kommt aus der Mode, Meldung auf heise Security
• Studie: Stille Updates erhöhen Sicherheit, Meldung auf heise Security

(dab)