Positiver Trend: Hersteller schließen Sicherheitslücken schneller
Googles Project-Zero hat ausgewertet, wie sich die Hersteller beim Schließen von Sicherheitslücken schlagen. Sie sind deutlich schneller geworden.
(Bild: Gerd Altmann, gemeinfrei (Creative Commons CCo))
Das Project Zero von Google hat die Reaktionszeiten untersucht, die Hersteller im Laufe der Jahre für die Bugfixes benötigten. Project Zero sucht Sicherheitslücken in Software, informiert die Hersteller der Produkte und erwartet eine Behebung der gemeldeten Schwachstellen in angemessener Zeit. Eine gute Nachricht: Das Ausbessern von sicherheitsrelevanten Fehlern konnten die Softwareentwickler in den vergangenen drei Jahren spürbar beschleunigen.
Der durchschnittliche Zeitraum von der Meldung der Schwachstelle bis zur Auslieferung der aktualisierten Software betrug demnach im Jahr 2021 laut Google 52 Tage. Drei Jahre zuvor ließen sich die Hersteller noch 80 Tage Zeit dafür.
90 Tage Zeit
Grundsätzlich gibt Project Zero den Softwareherstellern rund drei Monate Zeit, eine Sicherheitslücke nach der Meldung abzudichten, bevor die Forscher Details dazu veröffentlichen. Die Softwareanbieter können jedoch zusätzlich einen 14-tägigen Aufschub erhalten. Stellen Hersteller eine Aktualisierung bereit, gewährt Google ihnen 30 weitere Tage bis zur Veröffentlichung von Details, damit Nutzer die Updates installieren und so ihre Systeme zuvor absichern können.
Die Hersteller, die dieses Ziel nicht erreicht haben, sind deutlich weniger geworden. Nur noch 14 Prozent der gemeldeten Fehler benötigen den Aufschub und nur ein einziger Bug wurde 2021 nicht rechtzeitig gefixt, erläutern die Analysten des Projekts.
In einem Blog-Beitrag spielen die Forscher von Project Zero ein wenig mit den erhobenen Zahlen der letzten drei Jahre. Eine Tabelle zeigt etwa, dass die meisten Anbieter von 2019 bis 2021 teils deutlich an Geschwindigkeit zulegen konnten. Lediglich Google selbst sticht hervor, weil es zwar 2020 Fehler schneller behoben hat als zuvor, im Jahr 2021 jedoch stark nachgelassen hat.
Handys und Webbrowser
Eine ebenfalls interessante Feststellung: Bei den Smartphone-Betriebssystemen gibt es keine signifikanten Geschwindigkeitsunterschiede. Apple braucht für iOS im Schnitt 70 Tage bis zur Fehlerbehebung, während Android sowohl auf Samsung- als auch auf Pixel-Geräten im Schnitt 72 Tage dafür benötigen. Die höhere Anzahl an gefundenen Fehlern bei Apple erklären die Google-Analysten damit, dass aufgrund Apples Update-Strategie Programme wie Facetime, iMessage oder Safari/WebKit als Teil des Betriebssystems zählen.
Als Webbrowser hat Project Zero Chrome, Mozilla Firefox und Apples WebKit genauer angesehen. Googles Chrome schnitt mit rund 30 Tagen zwischen Bug-Meldung und Veröffentlichung des Updates am besten ab, gefolgt von Firefox mit etwa 38 Tagen und dem Schlusslicht WebKit, bei dem die Zeitspanne für gewöhnlich grob 73 Tage betrug.
Die Project-Zero-Analysten haben erstmalig diese Statistiken erstellt und veröffentlicht. Laut des Blog-Eintrags soll das ab jetzt regelmäßig erfolgen. Die Forscher planen einen jährlichen Veröffentlichungszyklus.
(dmk)
