Das Fünf-Minuten-Gerücht
Fünf Minuten sei die "mittlere Überlebenszeit" eines ungepatchten Windows-Systems im Internet. Unsinn ist das -- findet Jürgen Schmidt, Chefredakteur von heise Security.
Gerade geht es wieder rum: "Nur fünf Minuten, bis ein ungepatchter Windows PC kompromittiert wird", berichten die einen, andere reden von Stunden. Einig ist man sich jedoch, dass das alles ganz schrecklich sei.
Dabei ist das alles bestenfalls Unfug, in manchen Fällen aber auch bewusstes Reiten der Panikwelle. Ein ungepatchtes System – das suggeriert, dass der Betreffende ein paar Updates nicht eingespielt hat. Kann jedem von uns mal passieren. Und genau da liegt der Hase im Pfeffer.
Diese Zahlenspiele betreffen ausschließlich Systeme, die nicht nur verwundbar sind, sondern auch noch von außen erreichbar. Das war früher tatsächlich eine realistische Annahme, wie Würmer wie Sasser eindrucksvoll demonstrierten. Innerhalb von Minuten infizierten sie die Rechner von Windows-Anwendern, die nichts anderes getan hatten, als sich ins Internet einzuwählen. Doch seither ist einiges geschehen. Solche Systeme gibt es heute nicht mehr zu kaufen. Und auch schon letztes Jahr nicht. Und vorletztes auch nicht ...
Denn mit Windows XP Service Pack 2 war damit Schluss. Seitdem ist die Windows Firewall per Default auf allen Netzwerkverbindungen aktiv und schottet das System gegen ungefragt ankommende Pakete ab. Und SP2 wurde bereits vor knapp vier Jahren veröffentlicht, selbst der offizielle Support für XP-Systeme ohne ist seit 2006 ausgelaufen. Alle Windows XP Systeme, die also in den letzten Jahren zumindest einmal auf einen halbwegs aktuellen Stand gebracht wurden, sind damit erstmal abgeschirmt. Natürlich kommt da immer noch im Schnitt alle paar Minuten ein böses Paket an. Doch das verwirft die Firewall weitgehend unberührt (1).
Nicht, dass das jemand falsch versteht: Natürlich gibt es für Windows-Anwender nach wie vor beträchtliche Gefahren. Aber die haben sich in den letzten Jahren verlagert. Die Zeiten von Sasser & Co sind vorbei. Selbst der klassische E-Mail-Trojaner ist nicht mehr das Hauptproblem. Heute fängt man sich Schad-Software primär beim Surfen ein. Hunderttausende Web-Sites sind kompromittiert und nutzen Sicherheitslücken in Internet Explorer, Adobe Reader, Flash Plugin und was weiß ich noch allem aus. Das sind die realen Gefahren des Internet für normale Anwender. Die lassen sich aber nicht mehr in mittleren Überlebenszeiten messen.
Und wer's nicht glaubt: Ich wette einen Kasten Flens, dass man ein Windows XP SP2 ohne weitere Patches in der Default-Konfiguration eine Woche direkt ans Internet hängen kann und da passiert gar nichts. Wer hält dagegen? (2)
bye, ju
(1) Es gibt zwar Sicherheitslücken im TCP/IP-Stack wie die in MS08-001, die sich trotz Windows Firewall ausnutzen lassen könnten. Massive diesbezügliche Aktivitäten sind mir bislang jedoch nicht zu Ohren gekommen.
(2) Die Rede ist nicht von einem öffentlich ausgeschriebenen Hacking Contest "Wer knackt die Windows Firewall?", sondern von einem Windows System, das still und unauffällig zum Beispiel an einer DSL-Leitung hängt und dort all das abbekommt, was sowieso typischerweise im Netz unterwegs ist.
