Ungepatchte Sicherheitslücken: IBM rudert zurück

Laut einem IBM-Bericht ließ Google im ersten Halbjahr 2010 jede dritte kritische Lücke offen. IBM gestand nun Fehler ein und korrigierte seinen Bericht.

In Pocket speichern vorlesen Druckansicht 24 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

IBMs Sicherheitsteam X-Force hat den vergangene Woche veröffentlichten Sicherheitsbericht für das erste Halbjahr 2010 überarbeitet, nachdem zwei Hersteller Kritik an der Richtigkeit der Auswertung geäußert hatten. Stein des Anstoßes war die Tabelle der 10 Hersteller mit den meisten ungepatchten Sicherheitslücken im Zeitraum eines halben Jahres: Erstmals unter den Top 10 vertreten soll Google 33 Prozent seiner kritischen Lücken nicht gepatcht haben, wodurch sich das Unternehmen ursprünglich den Spitzenplatz in dieser Disziplin gesichert hatte.

Ungepatchte Lücken? In der überarbeiteten Tabelle gibt es bei Google keine mehr.

(Bild: IBM)

Nach Googles Recherchen gehen die 33 Prozent auf eine von drei kritischen Lücken zurück – und das auch nur, weil die vermeintlich ungepatchte Lücke falsch klassifiziert wurde. Bei einem "Stack Buffer Overflow" handelte es sich laut Google nur um einen "Stack Overflow", der sich zwar auf die Stabilität auswirken, über den man in der Regel jedoch keinen Schadcode einschleusen kann. Damit sinkt die Prozentzahl der ungepatchten kritischen Lücken des Suchmaschinenriesen von 33 auf 0.

Als Konsequenz aus dem Hersteller-Feedback hat IBM alle gesammelten Daten neu ausgewertet, die Einfluss auf die Prozentangaben in der Tabelle haben: Dadurch haben auch Linux (zuvor 20 %) und Sun (zuvor 9 %) in der überarbeiteten Fassung im ersten Halbjahr keine kritischen Lücken hinterlassen. Apple galt in dieser Hinsicht schon zuvor als Vorbild mit ebenfalls 0 Prozent. Allein bei Microsoft musste IBM die Angaben nach oben korrigieren: Statt 7 sind es nun 11 Prozent.

Das zeigt wieder einmal, dass solche Studien bestenfalls als Anhaltspunkt und nie als alleiniges Kriterium zur Entscheidungsfindung dienen sollten. Zwar ist es eine Binsenweisheit, dass Studien mit Vorsicht zu genießen sind – jedoch müssen ihre Erheber selten derart grundlegende Korrekturen durchführen. Ein weiteres prominentes Beispiel ist Verizon: Das Unternehmen musste in dem diesjährigen Data Breach Investigations Report eine wesentliche Aussage des Vorjahresberichts korrigieren. Verizon hatte die Zeiten, in denen Angriffe auf Firmendaten in erster Linie von Mitarbeitern ausgehen, vorzeitig für beendet erklärt. (rei)