Abo
  • Services:
Anzeige
Die Verteilung der Sicherheitslücken bei deutschen Nutzern
Die Verteilung der Sicherheitslücken bei deutschen Nutzern (Bild: Flexera/Secunia)

Secunia Research: Mit schlechten Statistiken zum falschen Sicherheitseindruck

Die Verteilung der Sicherheitslücken bei deutschen Nutzern
Die Verteilung der Sicherheitslücken bei deutschen Nutzern (Bild: Flexera/Secunia)

Secunia Research schaut sich regelmäßig an, wie gut Anwender ihre Systeme pflegen. Die gute Nachricht: Windows wird in der Regel aktualisiert. Die schlechte: Bei den Programmen sind selbst versierte Anwender nachlässig. Die Statistiken sind aber mit Vorsicht zu genießen.

Flexera Software, Besitzer von Secunia, hat kürzlich seinen Personal Software Inspector Country Report veröffentlicht. Der Bericht erscheint quartalsweise und schlüsselt den Patchstatus der Anwender in einzelnen Ländern auf. Er zeigt, dass dieser Patchstand allgemein recht gut ist. Insbesondere das Betriebssystem wird von den Anwendern gepflegt, das suggerieren die Statistiken. Schwächen gibt es aber bei Drittherstellersoftware. Viele Nachrichtenseiten haben diese Statistiken kürzlich als seriösen Indikator verwendet, doch wie so viele Zahlenspiele hat auch der Secunia-Report erhebliche Schwächen. Erhoben wurden die Daten am 30. Juni 2016.

Anzeige

Zahlen sind mit Vorsicht zu lesen

Die Zahlen erhebt Secunia Research auf Grundlage seines Personal Software Inspector (PSI), sie müssen unter Vorbehalt betrachtet werden und gelten allenfalls für eine kleine, nicht repräsentative Anwenderschaft. Denn wer PSI installiert hat, gehört schon zu den technisch versierten Nutzern oder hat beispielsweise einen Administrator um sich herum, und sei es nur der Familienadministrator.

Ist der PSI nicht installiert, würden die Statistiken vermutlich deutlich schlechter aussehen. Uns sind diesbezüglich aber keine unabhängigen Erhebungen bekannt. Das korrekte Erheben dürfte mit einer repräsentativen Umfrage aufgrund der Komplexität des Themas nicht möglich sein. Dafür braucht es Telemetrie-Daten.

Nichtsdestotrotz sind die Zahlen interessant. Die deutschen PSI-Nutzer gehen mit ihrem Betriebssystem pflegsam um. Nur 4,6 Prozent der Anwender haben ein Betriebssystem mit einer bekannten Sicherheitslücke unter Windows. Der regelmäßige Patchday und das automatische Installieren dürften diese guten Werte erklären. Problematischer ist die Situation auf Anwendungsebene. Auf einem typischen deutschen Rechner sind 12,6 Prozent der Programme mit bekannten Sicherheitslücken installiert.

Software mit Herstellerunterstützung

Besonders beliebt ist noch immer Oracles Java Runtime Environment. Das ist in den vergangenen Jahren als besonders lohnenswertes Ziel für Angreifer aufgefallen. Immerhin 49 Prozent der deutschen PSI-Nutzer verwenden Java, davon fast die Hälfte ungepatcht. Das heißt, fast 25 Prozent der PSI-Nutzer sind nur durch Java prinzipiell angreifbar. Was die Statistik allerdings nicht verrät, ist, welche Angriffsvektoren offen sind. Aufgrund der zahlreichen Berichte dürften viele Java als Webplugin deaktiviert haben. Die Gefahr ist dann erheblich geringer.

Oracle liegt damit auf Platz 2 der ungepatchten Anwendungen. Den ersten Platz nimmt der Videolan-Client (VLC) ein. Der ist bei PSI-Nutzern etwas stärker verbreitet und hat einen Anteil von 56 Prozent. Wer PSI installiert hat, sieht in dem Player offenbar nur wenige Gefahren, die Ungepatcht-Rate liegt bei 65 Prozent. Eine ähnlich hohe Rate an unsicheren Installationen findet sich auf den Plätzen 4 und 5 mit dem Adobe Reader XI und Google Picasa. Die Anteile sind mit 19 respektive 15 Prozent aber geringer.

Der dritte Platz ist hingegen eine Besonderheit. Es handelt sich um Mozillas Browser Firefox 45, der auf 32 Prozent der Rechner installiert ist. Von ihm dürfte eigentlich die größte Gefahr ausgehen, denn den Browser nutzen Anwender in der Regel täglich. 42 Prozent der Installationen sind anfällig für einen Angriff über eine Sicherheitslücke.

Das Gefahrenpotenzial ist also selbst bei PSI-Nutzern recht hoch. PSI selbst schützt den Anwender nicht, die Software gibt nur Tipps, die offenbar regelmäßig ignoriert werden. Wie hoch die tatsächliche Gefahr ist, lässt sich so allerdings nicht einschätzen. Angreifer neigen dazu, sehr alte, gut dokumentierte Sicherheitslücken zu verwenden. Diese alten Versionen tauchen in den Snapshots von Secunia allerdings kaum auf. Das zeigt, dass auch die schlechten PSI-Nutzer ihren Rechner nicht allzu sehr vernachlässigen.

Aufgegebene Software und Schwächen bei der Erhebung durch Secunia

Es gibt allerdings eine scheinbar erschreckende Sonderstatistik. Und zwar die Programme, die seitens der Hersteller nicht mehr unterstützt werden. Immerhin 82 Prozent der Anwender hatten zum Zeitpunkt der Erhebung am 30. Juni 2016 noch den Flashplayer 21 installiert. Allerdings wurde erst wenige Tage vor der Erhebung die Version 22 veröffentlicht. Auch das lässt sich aus den Statistiken nicht erkennen. Secunia ist sich des Problems bewusst und räumt ein, dass dies die Statistiken verändern könnte.

Ohne entsprechendes Hintergrundwissen sollten die Statistiken besser nicht verwendet werden. In dem Flash-Fall ist bezeichnend, dass hier offenbar der Auto-Updater von Adobe im großen Stil versagt hat. Wir kennen das Problem: Bei einem Adobe-Patchday empfiehlt es sich, immer eine manuelle Überprüfung durchzuführen.

Secunia kann Browser nicht auseinanderhalten 

eye home zur Startseite
Simon B. 20. Aug 2016

So lange diese nicht im Browser als Plugin aktiviert sind, sind sie zwar immer noch...

vlad_tepesch 17. Aug 2016

das erklärt das ganze natürlich. So ein sch*** (Und führt auch gleichzeitig Blexy mit...

FreiGeistler 16. Aug 2016

Gibts übrigens alle portabel, auch java inklusive Launcher. Ausser natürlich Flash.

tKahner 16. Aug 2016

Manche der hier besprochenen Problemprogramme laufen bei mir (leider) auch. z.B. Flash...

DetlevCM 16. Aug 2016

Einfacher gesagt als getan: Bei OpenSource Software ist es durchaus verwunderlich dass...



Anzeige

Stellenmarkt
  1. Dr. August Oetker KG, Bielefeld
  2. Robert Bosch GmbH, Abstatt
  3. operational services GmbH & Co. KG, Berlin, Dresden
  4. ADAC IT Service GmbH, München


Anzeige
Hardware-Angebote
  1. ab 799,90€
  2. 65,89€ (Bestpreis!)

Folgen Sie uns
       


  1. Ronny Verhelst

    Tele-Columbus-Chef geht nach Hause

  2. Alphabet

    Google Gewinn geht wegen EU-Strafe zurück

  3. Microsoft

    Nächste Hololens nutzt Deep-Learning-Kerne

  4. Schwerin

    Livestream-Mitschnitt des Stadtrats kostet 250.000 Euro

  5. Linux-Distributionen

    Mehr als 90 Prozent der Debian-Pakete reproduzierbar

  6. Porsche Design

    Huaweis Porsche-Smartwatch kostet 800 Euro

  7. Smartphone

    Neues Huawei Y6 für 150 Euro bei Aldi erhältlich

  8. Nahverkehr

    18 jähriger E-Ticket-Hacker in Ungarn festgenommen

  9. Bundesinnenministerium

    Neues Online-Bürgerportal kostet 500 Millionen Euro

  10. Linux-Kernel

    Android O filtert Apps großzügig mit Seccomp



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Indiegames Rundschau: Meisterdiebe, Anti- und Arcadehelden
Indiegames Rundschau
Meisterdiebe, Anti- und Arcadehelden
  1. Jump So was wie Netflix für Indiegames
  2. Indiegames-Rundschau Weltraumabenteuer und Strandurlaub
  3. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie

Ausprobiert: JPEGmini Pro komprimiert riesige JPEGs um bis zu 80 Prozent
Ausprobiert
JPEGmini Pro komprimiert riesige JPEGs um bis zu 80 Prozent
  1. Google KI erstellt professionelle Panoramen
  2. Bildbearbeitung Google gibt Nik Collection auf

Kryptowährungen: Bitcoin steht vor grundlegenden Änderungen
Kryptowährungen
Bitcoin steht vor grundlegenden Änderungen
  1. Die Woche im Video Strittige Standards, entzweite Bitcoins, eine Riesenkonsole
  2. Drogenhandel Weltweit größter Darknet-Marktplatz Alphabay ausgehoben
  3. Kryptowährung Bitcoin notiert auf neuem Rekordhoch

  1. Re: Soll das ein Witz sein?!

    tingelchen | 02:48

  2. Re: Wie viel Menschen klicken auf Werbung?

    Sharra | 02:41

  3. Re: Und in Deutschland?

    LordGurke | 01:33

  4. Re: Tele-Columbus ist nicht mehr das was es mal wahr

    dxp | 01:30

  5. Re: Eine Beleidigung für echte Fotografen

    No name089 | 01:20


  1. 23:54

  2. 22:48

  3. 16:37

  4. 16:20

  5. 15:50

  6. 15:35

  7. 14:30

  8. 14:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel