Bericht: Zahl der Sicherheitslücken nimmt ab

Der Secunia-Sicherheitsreport 2011 (Anmeldung erforderlich) kommt zu dem Ergebnis, dass die absolute Zahl der bekannt werdenden Sicherheitslücken abnimmt. Dies gilt sowohl für den Vergleich zum Vorjahr 2010 als auch für einen 5-Jahres-Trend. Trotzdem gibt es wenig Grund für Entwarnung.

Für 2011 hat der Sicherheitsdienstleister Secunia nur noch 3551 Sicherheitslücken mit eigener CVE-Nummer gezählt – 14 Prozent weniger als 2010 und ganze 24 Prozent weniger als 2006, also fünf Jahre zuvor. Verwirrend ist dabei allerdings, dass dieser positive Trend offenbar nicht für die wichtigsten Software-Hersteller gilt: Von den 20 Herstellern, deren Software 2010 für die meisten Lücken verantwortlich war, kann kein einziger eine positive 5-Jahres-Bilanz vorweisen; selbst im Vergleich zum Vorjahr schneiden nur sieben besser ab.

Auch die Zahl der Sicherheitslücken der häufig auf den Windows-PCs von Endanwendern anzutreffenden Software ist rapide gestiegen. Im sogenannten Top-50-Portfolio stieg die Zahl der veröffentlichten Lücken auf 870, sie hat sich damit seit 2007 mehr als verdreifacht. Erstaunlich ist dabei, dass die Zahl der Lücken in den immerhin 28 Microsoft-Programmen (MS) über die Jahre nahezu konstant blieb; der rasante Anstieg geht so gut wie ausschließlich auf das Konto der 22 Produkte von Drittherstellern ("TP" in der Grafik). Der heise-Security-Artikel Microsofts Kampf gegen die Bugs geht den Ursachen der guten Microsoft-Bilanz nach. (ju)