BLOG

Windows 10 hat mehr Sicherheitslücken als erwartet

27/11/2015 20:25 CET | Aktualisiert 27/11/2016 11:12 CET
Thinkstock

Die Anzahl kritischer Schwachstellen in Standard-IT-Produkten hat sich laut dem aktuellen „Bericht zur Lage der IT-Sicherheit in Deutschland 2015" noch einmal massiv erhöht. Grund genug, das beliebteste Betriebssystem der Welt einmal genauer unter die Lupe zu nehmen, dachten sich die Experten für Schwachstellenmanagement von Greenbone Networks.

Sie haben gut 100 Tage nach dem Start von Windows 10 das neuste Microsoft-Systems in puncto Sicherheit auf Herz und Nieren geprüft. Ich sprach dazu mit Dirk Schrader, Certified Information Systems Security Professional bei Greenbone Networks.

2015-11-25-1448459957-1926083-DirkSchrader_formal_quer_klein.jpg

Sie haben Windows 10 auf Schwachstellen untersucht. Wie hat das neue System bei ihren Tests abgeschnitten?

Mit 28 identifizierten Sicherheitslücken der Kategorie „hoher Schweregrad" in den ersten drei Monaten deutlich schlechter als die Vorversionen. Zum Vergleich: Windows 8.1 brachte es im ganzen ersten Jahr nur auf 24. Immerhin hat Microsoft selbst alle 28 Schwachstellen von Windows 10 veröffentlicht, die Microsoft durch externe und interne Sicherheitsanalysten zukommen ließ.

Sie haben also auch weitere Windows-Systeme in die Untersuchung einbezogen? Können Sie sagen, welche Version die bisher sicherste ist?

Ja, wir haben sämtliche Versionen von 2001, also Windows XP, bis zum aktuellen Windows 10 auf Schwachstellen getestet. Mit 28 schweren Sicherheitslücken in den ersten drei Monaten zählt das neueste Release zu den unsichersten Microsoft-Betriebssystemen.

Zum Vergleich: Bei Windows Vista und Windows 8 wurden in den ersten 100 Tagen nur 15 und damit knapp halb so viele Schwachstellen der Kategorie hoher Schweregrad festgestellt. Ähnlich schlecht wie Windows 10 schnitt nur Windows 7 mit 22 im Vergleichszeitraum identifizierten schweren Sicherheitslücken ab.

Sicherstes Microsoft-Betriebssystem ist Windows 8.1


Das sicherste Microsoft-Betriebssystem aller Zeiten dagegen ist ohne Zweifel Windows 8.1. Es wies lediglich fünf schwerwiegende publizierte Schwachstellen in den ersten 100 Tagen auf. Auch in der Langzeitanalyse hat sich Windows 8.1 mit durchschnittlich nur 4,4 publizierten schweren Schwachstellen pro Monat als bislang sicherstes Microsoft-Betriebssystem erwiesen - gefolgt von Windows 8 mit durchschnittlich 4,8 und Windows XP mit durchschnittlich 5,45 monatlich identifizierten Lücken.

Was ist unter „schwerwiegenden Schwachstellen" zu verstehen und wie messen Sie diese?

Wir haben in unserer Analyse ausschließlich Sicherheitslücken betrachtet, die nach dem Common Vulnerability Scoring System (CVSS) mit einem hohen Schweregrad eingestuft wurden. Mit diesem Industriestandard werden Sicherheitslücken nach verschiedenen Kriterien bewertet, so dass eine Prioritätenliste für Gegenmaßnahmen erstellt werden kann.

Die Skala beim CVSS reicht von 0, das wäre ein Softwarefehler ohne Konsequenzen für die IT-Sicherheit, bis maximal 10. Ab einer Wertung von 7 gilt die Lücke als hoher Schweregrad. Das bedeutet, dass ein Angreifer wenig bis gar keine Mühe hat, diese Schwachstelle über das Internet auszunutzen.

Das klingt ja so, als wären prinzipiell alle Windows-Versionen unsicher? Sollten Anwender besser ein anderes Betriebssystem wählen?

Nein, das würde ich nicht unterschreiben. Anwender sollten aber darauf achten, wie der Hersteller mit den identifizierten Schwachstellen umgeht. Entscheidend ist hier die schnelle Verfügbarkeit von Patches - also Updates, die die Lücken schließen. Microsoft stellt beispielsweise an festen Tagen im Monat Korrekturlieferungen, so genannte Bug Fixes, über den Windows-Update-Service zur Verfügung.

Schwachstellen gibt es in jedem System


Zusätzlich gibt es außerordentliche Updates für besonders kritische Lücken. Diese installiert das System automatisch. Und schließlich bleibt zu sagen: Schwachstellen gibt es in jedem System. Es kommt also darauf an, dass Anwender ihr Netzwerk regelmäßig auf Schwachstellen überprüfen und zeitnah Sicherheitspatches einspielen.

Wo wir dann bei Ihrem Thema wären: Schwachstellenmanagement. Sind meine Systeme dann damit absolut sicher?

Sagen wir sehr viel sicherer und widerstandsfähiger gegenüber Angriffen, denn die wird es geben. Firewalls, Antivirus und IDS sind Tools zur Abwehr von Angriffen, sind also in diesem Sinne nur reaktiv. Die Schwachstelle, das Ziel des Angriffs, kümmert sie nicht. Das tun wir, und zwar proaktiv. Beide sind notwendig und sollten einander ergänzen.

100prozentige IT-Sicherheit gibt es nicht


Da aber hundertprozentige IT-Sicherheit nie erreicht werden kann, müssen Sie zum schwer zu treffenden Ziel werden. Und genau hier kommt Schwachstellenmanagement ins Spiel, weil Sie damit Ihre Angriffsfläche um den Faktor 1.000 reduzieren können.

Denn laut dem Data Breach Investigations Report 2015 waren 99,9 Prozent aller 2014 ausgenutzten Schwachstellen länger als 12 Monate bekannt. Wir reden hier über eine Zahl von über 4.300 allein in der höchsten Kategorie 10, die über die Jahre aufgedeckt wurden.

Ist Schwachstellenmanagement nur was für große Unternehmen? Oder anders gefragt, können sich kleinere Betriebe Security-Lösungen wie Schwachstellenmanagement überhaupt leisten?

Hier sind kleinere Unternehmen genauso gefordert wie große Konzerne. Denn die Cyber-Kriminalität nimmt ständig zu - und das betrifft alle Anwender. So stieg die Zahl der IT-Angriffe beispielsweise 2014 um 48 Prozent im Vergleich zum Vorjahr - und diese Tendenz dürfte sich auch dieses Jahr wieder bestätigen.

Zudem zeigt der aktuelle Lagebericht zur IT-Sicherheit des BSI, dass auch die Mittel und Methoden der Angreifer immer professioneller werden. Insbesondere in Deutschland, wo wir mit über 1.500 Hidden Champions mehr globale Marktführer haben als irgendwo sonst auf der Welt, sollten auch kleine und mittelständische Betriebe ihr geistiges Eigentum und ihre sensiblen Daten vor Cyber-Kriminellen schützen.

Auch für diese Unternehmen bietet der Markt mittlerweile schnell einsatzbereite Lösungen, die mit wenig Aufwand für Installation und Betrieb Sicherheitslücken bei den eingesetzten IT-Systemen aufdecken können. Im Vergleich zum Schaden, der bei einem Angriff entsteht, sind solche präventiven Maßnahmen als Ergänzung zu Firewall und Co. wirtschaftlich absolut sinnvoll.

Neues Betriebssystem: Jetzt zwingt Microsoft Nutzer zum Update auf Windows 10

Lesenswert:

Ihr habt auch ein spannendes Thema?

Die Huffington Post ist eine Debattenplattform für alle Perspektiven. Wenn ihr die Diskussion zu politischen oder gesellschaftlichen Themen vorantreiben wollt, schickt eure Idee an unser Blogteam unter

blog@huffingtonpost.de.

Hier geht es zurück zur Startseite