Studie sieht Open-Source-Software als Spitzenreiter bei Sicherheitslücken

Analysten der Aberdeen Group haben einen Blick auf die diesjährigen Sicherheitswarnungen des CERT geworfen. Ihr Ergebnis: Open-Source-Software ist die Nummer 1 bei Sicherheitslücken. Von den 29 bis Ende Oktober veröffentlichten Advisories des CERT beziehen sich 16 auf Open-Source-Software wie den DNS-Server Bind oder den Web-Server Apache, die vor allem auf Linux- und Unix-Systemen zum Einsatz kommt. Lediglich sieben Advisories in diesem Zeitraum betreffen Microsoft-Software. Nach Ansicht der Aberdeen Group widerlegen diese Zahlen die verbreitete Ansicht, dass Software aus dem Hause Microsoft besonders unsicher sei.

Allerdings sollte man bei der Beurteilung der Untersuchung nicht außer Acht lassen, dass das 1988 gegründete CERT als zentrale Meldestelle für Sicherheitsprobleme im Internet längst nicht jede Sicherheitslücke meldet: Lediglich "ausreichend schwere" Vorfälle schaffen es in den Rang eines Advisories -- wobei das CERT selbst sagt, dass "ausreichend schwer" schwierig zu definieren ist.

Dabei konzentriert sich das CERT vor allem auf Sicherheitslücken bei Servern; die jüngste Panne beim Internet-Explorer etwa findet sich nicht in der CERT-Liste. Zudem hat das CERT, das in erster Linie Systemadministratoren über aktuelle Sicherheitsprobleme informieren will, traditionell eher Unix-Software im Blick: So war beispielsweise ein von Microsoft selbst als kritisch eingestufter Bug in den Frontpage Server Extensions des IIS dem CERT kein Advisory wert. (odi)