Community kritisiert Schwachstellen-Report von Sicherheitsunternehmen
Die Aussage, dass Firefox mit 44 Prozent aller Schwachstellen in populären Browsern führend sei und der Internet Explorer nur zu 15 Prozent dazu beitrage, trat die unvermeidliche "Äpfel mit Birnen vergleichen"-Diskussion wieder los.
- Daniel Bachfeld
Mit seinen undifferenzierten Aussagen im "Web Application Security Trends Report " (PDF-Dokument) hat der Hersteller Cenzik einigen Unmut in der Sicherheits-Community erregt. Insbesondere die Aussage, dass Firefox mit 44 Prozent aller Schwachstellen in populären Browsern führend sei und der Internet Explorer nur zu 15 Prozent zur Gesamtmenge der Lücken betrage, trat die unvermeindliche "Äpfel mit Birnen vergleichen"-Diskussion wieder los. Zwar schreibt Cenzik nicht explizit, dass der Open-Source-Browser unsicherer sei als andere, allerdings erklärt der Bericht die Zahlen auch nicht – sodass viel Interpretationspielraum bleibt.
Auch die Apple-Fan-Gemeinde dürfte sich mit 35 Prozent Anteil des Safari am Lückenkuchen auf den Schlips getreten fühlen – stellt sich doch erst nach genauerer Lektüre des 29-seitigen Berichts heraus, dass ein großer Teil der Lücken allein auf Probleme in der Version für das iPhone zurückzuführen sein sollen. Die Mozilla Foundation findet das reine Zählen von Schwachstellen in Produkten ohnehin wenig aussagekräftig, was sie auch bei Berichten anderer Dienstleister und Hersteller immer wieder kritisiert. Um die Sicherheit eines Browsers einschätzen zu können, müsse man zusätzlich die Gefährlichkeit und Ausnutzbarkeit eines Fehlers sowie die Dauer vom Bekanntwerden bis zum Schließen der Lücke einbeziehen.
Zumindest was die Bewertung der Ausnutzbarkeit von Lücken angeht, hat Microsoft sich kürzlich ähnlich wie die Mozilla Foundation geäußert. Nach Meinung von Steve Lippner von der Trustworthy Computing Group ist nicht nur das Verhindern von Lücken in Software einer der größten Erfolge des Security Development Lifecycle (SDL), sondern auch, dass Lücken in neueren Produkten viel schwerer auszunutzen seien als früher. Der Geschäftsführer des Sicherheitsdienstleisters Secunia, der alle veröffentlichten Schwachstellen in Software minutiös notiert, bemängelt ebenfalls die unkommentierten Zahlen. Zur Bewertung gehöre ebenfalls, wie schnell Updates verteilt und wie leicht sie zu installieren seien. Auch die sichere Integration von Add-ons und Plug-ins müsse berücksichtigt werden.
Daneben wartet Cenziks Report noch mit weiteren Zahlen rund um Webanwendungen auf: Die Zahl der registrierten Schwachstellen sei um 10 Prozent auf fast 3100 gestiegen. Insgesamt repräsentierten Probleme rund um Cross Site Scripting, SQL Injection, Session Management, ClickJacking und ähnliche Lücken damit drei Viertel aller überhaupt gemeldeten Sicherheitslücken. (dab)
