Im Moment geistern Zahlen einer Statistik durchs Netz, die nach Meinung vieler Interpretationen belegen sollen, dass Windows gar nicht so unsicher ist, wie gemeinhin behauptet, da darin 2014 weniger Fehler als in anderen Systemen gefunden wurden. Das reißt viele Quellen wie Foren, Webseiten und Fachmagazine derzeit zu Aussagen hin wie „MacOS X, iOS und Linux gefährlicher als Windows“.

Was ist nun davon zu halten? Wie so oft zeigt sich, dass Zahlen und Statistiken geduldig sind. Wenn man sie interpretiert, muss man versuchen, in ihnen nicht nur das zu sehen, was man sehen will. Ich möchte mich hier um eine nüchternere Betrachtung der gegebenen Zahlen bemühen, weise aber vorab darauf hin, dass auch ich in den Zahlen meine ganz gegensätzliche Auffassung von der Sicherheit der Betriebssysteme eher bestätigt als herausgefordert sehe. 😉

Die Statistik

Zunächst einmal ein Blick auf die Zahlen. Es handelt sich, wie es heißt, um eine Statistik aus der National Vulnerability Database, einer Datensammlung der US-Regierung, die nicht gerade ein Muster nutzbaren Webdesigns ist. Aber nehmen wir einmal an, dass die Zahlen stimmen.

Stein des Anstoßes ist eine Statistik der im Jahr 2014 neu entdeckten Sicherheitslücken in Betriebssystemen:

Sicherheitslücken in Betriebssystemen 2014
Sicherheitslücken in Betriebssystemen 2014

Auf den ersten Blick sind in den Apple-Betriebssystemen und im Linux-Kernel tatsächlich mehr neue Sicherheitslücken in 2014 gefunden worden als in Windows. In der Diskussion im Internet stoßen sich viele daran, dass die Windows-Versionen aufgeschlüsselt werden, wohingegen Linux, iOS und OS X jeweils zu einer Gruppe zusammengefasst werden. Allerdings kann man daraus nicht folgern, dass die Windows-Versionen aufaddiert werden müssten. Aus der großen Ähnlichkeit der Zahlen lässt sich eher ableiten, dass die Sicherheitslücken dieselben sind, dass also zum Beispiel die 36 Sicherheitslücken in Windows 7 und 8 jeweils identisch sind, Vista zwei davon nicht enthält usw.

Der Betriebssystemkern von Windows ändert sich von Version zu Version kaum. Wenn die Sicherheitslücken dieselben sind, bedeutet das also, dass eine neu entdeckte Sicherheitslücke für praktisch alle gängigen Windows-Versionen gilt. Windows XP darf da ruhig mitgenannt werden, es taucht in dieser Liste wohl nur deshalb nicht auf, weil es auch nicht mehr gepatcht wird – genau so macht es Microsoft in seinen Security Advisories selbst auch.

Es stehen also bis zu 36 neue Lücken in 2014 im Konsumenten-Windows (die Serverversionen haben zwei mehr, aber das lasse ich mal außer Acht) neben 119 in Linux, 127 in iOS und 147 in OS X.

Was die Zahlen nicht zeigen

Leider wird keine Aussage darüber getroffen, ob die Sicherheitslücken auch geschlossen wurden. Das wäre eine interessante Frage: Jeder Linux-Besitzer weiß, dass er fast täglich Sicherheitsupdates bekommt. Der Linux-Kern erscheint alle 12 Wochen mit Millionen von Änderungen im Programmcode neu. Der Kern von Windows 2000 war laut Wikipedia der NT-Kernel 5.0, der von Windows 8.1 ist NT-Kernel 6.3. Dazwischen liegen 5 weitere Versionen. Diese Zahl an Versionen schafft der Linux-Kernel in etwas über einem Jahr.

Der Linux-Kern ändert sich also mit wesentlich höherer Frequenz. Es kommt mehr Code hinzu, in dem mehr neue Lücken sein können. Schon allein deshalb ist es gut möglich, dass mehr Lücken darin entdeckt werden als in dem alten NT-Kernel, der immerhin 15 Jahre Reifezeit hinter sich hat. Wichtiger ist, wie viele dieser Lücken geschlossen werden und wie schnell das geschieht. Hier stehen die schnellen Patches von Linux einem monatlichen Patchday seitens Microsoft gegenüber, der häufig nicht einmal alle bereits bekannten Lücken schließt.

Was auch noch zu beachten ist: Linux ist Open Source. Eine Sicherheitslücke kann durch Betrachten und Analysieren des Quellcodes entdeckt oder wenigstens bestätigt werden. Der Windows-Kern ist hingegen proprietär, eine Sicherheitslücke ist daher weniger leicht zu belegen und wird durch Ausprobieren oder (verbotenes) Reverse Engineering entdeckt.

Ignoriert: die Schwere der Lücken

Vor einer Beobachtung drücken sich die meisten Windows-freundlichen Interpretationen dieser Zahlen: Das Verhältnis der Schwere der Sicherheitslücken. 43,5% der Sicherheitslücken in OS X gelten als schwer, als hohes Sicherheitsrisiko. In iOS sind es 25,2%, in Linux 20,2%, in Windows 8 aber 66,7%. Windows ist also deutlicher Spitzenreiter bei den schweren Sicherheitslücken, wenn man das Verhältnis betrachtet. Und mehr noch: leichte Sicherheitslücken kommen nach dem zugrunde liegenden Einstufungssystem in keiner Windows-Version vor. Alle Windows-Sicherheitslücken sind also mindestens mittelschwer.

Weitere Informationen

Die Sicherheitslücken im Betriebssystem machen nach den Informationen der NVD lediglich 13% der gesamten Sicherheitslücken aus. Es ist eine schon länger bekannte Tatsache, dass auch Windows wesentlich anfälliger für Angriffe und Infektionen durch andere Bestandteile des Programmpakets Windows oder durch weit verbreitete Software von Drittanbietern wie Java, Flash und Adobe Reader ist, als durch Lücken im System selbst.

Eine weitere interessante Zahl ergibt sich aus einem Vergleich der Sicherheitslücken in Browsern: hier ist der Internet Explorer nämlich unangefochtener Spitzenreiter mit 242 Lücken, davon 220 schwer, also 90,9%. Keine andere Software hat so viele Lücken und dabei auch noch so einen extremen Anteil schwerer Sicherheitslücken:

Top 10 der Sicherheitslücken in Software 2014
Top 10 der Sicherheitslücken in Software 2014

Über ähnliche Zahlen habe ich früher schon berichtet. Immer noch gilt: ein Browser ist grundsätzlich kein vertrauenswürdiges Programm, er ist das wichtigste Ziel von Angriffen und für die Installation z.B. von Banking Trojanern oder anderer Schadsoftware. Der Internet Explorer ist aber mit Privilegien im Windows-Betriebssystem ausgestattet, die seine Sicherheitslücken deutlich gefährlicher machen, als es die Sicherheitslücken in beliebigen anderen Browsern sind. Er ist nicht einmal aus dem System entfernbar. Microsoft selbst hat den Internet Explorer als integralen Bestandteil des Betriebssystems bezeichnet. Eigentlich müssten seine Fehler also auf die in der Liste der Betriebssystemfehler aufgeschlagen werden.

Fazit

Sich aufgrund der reinen Menge im Systemkern entdeckter Sicherheitslücken auf einem Windows-System in Sicherheit zu wiegen, bedarf schon eines gehörigen Maßes an Bereitschaft zum Selbstbetrug. Um das zu erkennen, ist auch keine Statistik notwendig. Wer sich mit Computer Service beschäftigt, weiß, welche Geräte er trotz eingespielter Updates, Antivirenprogrammen, Personal Firewalls und weiteren Schutzmaßnahmen regelmäßig von Schadsoftware befreit.

War dieser Beitrag für Sie nützlich?

[thumbs-rating-buttons]

3 Kommentare

  1. Dann müßte man die Lücken von Firefox bei Linux hinzufügen. Linux wird einfach zu populär, und in Osteuropa und Russland gibt es viel Linux – damit auch viele Spezialisten. Dann sind die Hackertools Linux – es gibt sogar eine Hacker Distribution. Darknet benutzt TOR – DER Linux Proxy. Man hat also mehr Profis und die Neigung zum Illegalen. Und der Spitzenreiter Linux Mint läuft einfach nach der Installation – man muss nichts mehr machen. Mint ist wie Windows, und wird immer interessanter. Und Linux verbreitet Windows Viren hervorragend.

    Der Vorteil von Linux ist, dass man als nicht Admin fast nichts machen kann und dass es nur Zugriff auf ein Verzeichnis gibt. Allerdings werden Windows-Laufwerke ohne Passwort eingebunden. Wenn man nichts mountet, hat man einen Vorteil. Aber eine Community, die es immernoch nicht schafft, eine TV Software – die was taugt – und mit der man aufnehmen kann, rauszubringen? Die alles nur funktionieren läßt, aber nur bei den Windows Versionen punkten kann – und Geld verdienen. Wie sollen die für Sicherheit sorgen?

    Mal abgesehen davon, dass man Linux eben für sicher hält, und somit meint, damit auf ganz andere Webseiten gehen zu können. Sich Pornos reinzuziehen etc..

    Dann der völlig veraltete Flash Player, der schon seit Jahren nicht mehr upgedatet wird.

    Wobei sich für Linux selbst kaum einer interessiert – es geht ja um die Netzfunktionen – den Browser etc. Und bei Linux gibt es keinen Virenscanner. Ergo, wenn man mal einen Virus drauf hat, dann hat man es geschafft. Linux ist für Hacker hochinteressant.

    Ich halte von Linux nichts mehr. 8 Jahre eine Sicherheitslücke, gemeldet am 15.7.15 und jetzt kommt der Patch. Und das dann über Google – die die glibc ersetzt haben. Warum wohl?

    Linux ist zum Hacken und für das Darknet. Ich würde niemals mit Windows ins Darknet – wobei ich mir das nur mal anschauen wollte – war noch nie drin.

    Matisse
    1. „Dann müßte man die Lücken von Firefox bei Linux hinzufügen.“

      Das ist sachlich schlicht falsch. Der Internet Explorer hat in Windows Wurzeln tief im System und hat Rechte, die über die eines Admins hinausgehen. Kein anderer Browser hat solche Rechte, weder unter Windows noch unter anderen Betriebssystemen.

      „Und Linux verbreitet Windows Viren hervorragend.“

      Diese Aussage ist Unsinn. Leider behaupten Sie sie nur und versuchen gar nicht erst, sie mit Argumenten zu untermauern, die man entkräften könnte.

      „Dann der völlig veraltete Flash Player, der schon seit Jahren nicht mehr upgedatet wird.“

      Flash ist tot.

      „Und bei Linux gibt es keinen Virenscanner. Ergo, wenn man mal einen Virus drauf hat, dann hat man es geschafft.“

      Dazu habe ich einen sehr umfassenden Artikel geschrieben. Es gibt keine aktiven Viren für Desktop-Linux. Und nützlich wäre ein Virenscanner auch dann nicht, wenn es sie gäbe.

      „Ich halte von Linux nichts mehr. 8 Jahre eine Sicherheitslücke, gemeldet am 15.7.15 und jetzt kommt der Patch.“

      Schon mal gemerkt, dass praktisch jede gravierende Sicherheitslücke von Windows alle Versionen betrifft? Neuere werden für Windows 95 bis XP nur deshalb nicht mehr gelistet, weil diese Betriebssysteme keinen Support mehr erfahren.

      Sämtliche andere Behauptungen Ihres Kommentars entspringen umfassender Unkenntnis und sind mangels Substanz leider nicht zu beantworten.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert