Es gibt keinen sicheren Internet-Browser
Symantec Sicherheitsbericht
Symantec veröffentlicht seinen halbjährlichen Berichtzur Internet-Sicherheit und kommt zu keinem besonders positiven Ergebnis. Wie das Unternehmen mitteilt, wurden in den ersten 6 Monaten des Jahres 2.249 neue Sicherheitslücken gefunden, was einem Plus von 18% entspricht.In keinem früheren Vergleichszeitraum wurden so viele Sicherheitsprobleme entdeckt.
Besonders betroffen scheinen dabei wieder einmal Desktop-Rechner und vor allem die darauf verwandten Web-Anwendungen zu sein: 69% aller gefundenen Verwundbarkeiten ("Vulnerabilities") entfallen auf diesen Bereich. Wobei bei fast allen Browser-Produkten ein Anstieg dieser Sicherheitslöcher verzeichnet wurde. Browser auf Mozilla-Basis zeigen sich laut dieser Statistik am Gefährdetsten.
Bei ihnen wurden 47 Sicherheitslücken dokumentiert, während es im 2. Halbjahr 2005 noch 17 waren. Beim Microsoft Internet Explorers wurden dagegen 38 Sicherheitslücken entdeckt (2005: 25) und beim Safari-Browser sogar nur 12 (2005: 6). Opera war der einzige Browser, bei dem mit nur 7 Sicherheitslücken sogar ein Rückgang der gefundenen Fehler ermittelt wurde (2005: 7).
Allerdings müssen diese Zahlen noch um eine weitere Angabe ergänzt werden: Die unterschiedlich langen Zeiträume, mit denen die Hersteller auf das Bekanntwerden von Lücken reagieren und Patches bereitstellen. Diese Zeit lag im Industrie-Durchschnitt bei 50 Tagen, wobei Sun mit 89 Tagen die längste Zeit verstreichen ließ.
Microsofts Sicherheitsabteilung dagegen benötigte im Schnitt nur 9 Tage, was im Vergleich zum 2. Halbjahr 2005 (25 Tage) eine deutliche Verbesserung darstellt. Für den Apple-Browser gibt Symantec dagegen 5 Tage an, was eine Verlangsamung der Reaktionszeiten bedeutet (2005: 0 Tage). Ähnliches gilt auch für Mozilla, wo durchschnittlich 1 Tag zwischen Bekanntwerden und Bereitstellung eines Patches verging.
Dabei muss man sicher berücksichtigen, dass diese Zahlen - Anzahl der Lücken und Reaktionszeiten - gerade bei Mozilla im Zusammenhang mit der Open Source-Entwicklung des Browsers zu sehen sind. Denn da die Entwickler dort jede entdeckte Lücke dokumentieren und meist umgehend bearbeiten, wurden im vergangenen Jahr noch durchschnittliche Reaktionszeiten von minus 2 Tagen angegeben. Die Lücken waren also schon behoben, bevor ihr Vorhandensein öffentlich gemacht wurde.
Doch so oder so ist die Situation noch unbefriedigend, da die Angreifer offenbar immer trickreicher werden, wenn es um die Ausnutzung von Sicherheitslücken geht. Ein wichtiger Anreiz dürfte es dabei für die Täter sein, "eroberte" Rechner für kommerzielle beziehungsweise kriminelle Zwecke einzusetzen.
Das zeigt sich ganz deutlich bei der Verbreitung infinzierter Bot-Rechner. Symantec gibt an, 4,7 Millionen Rechner identifiziert zu haben, die als Bot-Rechner für den Versand von Spam und Phishing-Mails verwandt werden, oder auch bei distribuierten DoS-Attacken Einsatz finden. Letztere werden im Unternehmensfeld immer bedeutsamer, denn kommerzielle Sites sind in diesem Zusammenhang leicht erpressbar. Und bei durchschnittlich 6.110 DoS-Attacken pro Tag kann man erahnen, welches Ausmaß dieses Problem erreicht hat.
