Digital
Apple

Das sind die gefährlichsten Programme, die du auf deinem PC, Mac oder Handy haben kannst

Was bei Apples Update-Beschreibungen jeweils ganz harmlos klingt, hat es in sich: Die neuste Aktualisierung für iOS stopft 18 Sicherheitslücken.
Was bei Apples Update-Beschreibungen jeweils ganz harmlos klingt, hat es in sich: Die neuste Aktualisierung für iOS stopft 18 Sicherheitslücken.

Das sind die gefährlichsten Programme, die du auf deinem PC, Mac oder Handy haben kannst

In den Top 10 der risikoreichsten Software des vergangenen Jahres sind Adobe, Apple, Google und Microsoft je zwei Mal vertreten. Der erste Platz geht an ein Smartphone-Betriebssystem.
31.01.2017, 13:4001.02.2017, 04:26
Mehr «Digital»

Gravierende Sicherheitslücken im iPhone, in Android-Smartphones oder Adobes Flash Player sorgten 2016 immer wieder für Schlagzeilen: Das Spionage-Programm Pegasus etwa verschaffte sich dank mehrerer Schwachstellen in Apples iOS weitreichenden Zugang zu iPhones. Mit dem Schadprogramm konnten Unbefugte, vermutlich Geheimdienste, unter anderem Nachrichten und E-Mails mitlesen, Anrufe verfolgen, Passwörter abgreifen, Tonaufnahmen machen und den Aufenthaltsort verfolgen. Sprich so ziemlich alles, was man als Handy-Nutzer nicht will.

Allein im iPhone-Betriebssystem wurden im letzten Jahr 161 neue Schwachstellen gefunden. Bei Windows 10 waren es 172, bei MacOS 215 und bei Android gar 523. Allein daraus kann aber keineswegs gefolgert werden, dass Android unsicherer als Windows 10 oder iOS ist, denn:

«Die reine Anzahl Sicherheitslücken sagt nichts über die effektive Sicherheit einer Software aus.»
Marc Ruef, IT-Sicherheitsexpertescip ag

Ein Beispiel zur Verdeutlichung: Eine gravierende Schwachstelle, die leicht aus der Ferne ausgenutzt werden kann und Zugriff auf das ganze System erlaubt, kann weit kritischer sein als 20 lokale Schwachstellen, die nur schwer ausgenutzt werden können und dem Angreifer nur sehr eingeschränkten Zugriff erlauben. Rein aus der Anzahl Sicherheitslücken, ohne die eigentliche Gefahr der Lücken zu gewichten, kann somit keine Aussage darüber getroffen werden, welche Software risikoreicher ist.

Diese Grafik kannst du also gleich wieder vergessen

Nur aufgrund der Anzahl Sicherheitslücken die Sicherheit eines Betriebssystems zu bestimmen, macht keinen Sinn.
Nur aufgrund der Anzahl Sicherheitslücken die Sicherheit eines Betriebssystems zu bestimmen, macht keinen Sinn.bild: statista

Die offensichtlichsten Probleme bei dieser Erbsenzählerei: Was wird gezählt? Zählt etwa eine Lücke im Internet Explorer auch als Lücke in Windows? Und wie wird gezählt? Zählt eine Lücke in drei Windows-Versionen als eine oder drei Schwachstellen?

Die oben stehende Grafik sagt eigentlich nur eines aus: Alle populären Betriebssysteme, ob von Apple, Google, Microsoft oder Open Source, sind löchrig wie ein Emmentaler. Ob von den Lücken effektiv grosse Gefahr ausgeht, darüber sagt die Grafik nichts aus.

Die 10 risikoreichsten Programme und Betriebssysteme 2016

Das Zählen von Schwachstellen zur Erstellung von Risiko-Statistiken sei in der Sicherheitsbranche zwar üblich, aber auch seit langem umstritten, sagt der Schweizer IT-Experte Marc Ruef.

Das IT-Sicherheitsunternehmen Scip AG aus Zürich geht daher einen etwas anderen Weg: Die Firma unterhält seit über 15 Jahren eine sogenannte Verwundbarkeitsdatenbank, die im Detail enthüllt, wie löchrig die Software von Firmen wie Adobe, Google, Microsoft etc. wirklich ist.

«Für unser Ranking der risikoreichsten Software berücksichtigen wir nicht nur die Anzahl der Schwachstellen, sondern auch deren Schweregrad, die Verbreitung des Betriebssystems oder des Programmes, die Einfachheit der Ausnutzung der Lücke und die Reaktionszeit für Updates der Hersteller.» 
Marc Ruef, IT-Sicherheitsexperte

«Dank dieser Datenbank können wir sehr genau sagen, welche Programme die grössten Risiken mitbringen», sagt Ruef, der beruflich Firmen auf Sicherheitslücken abklopft. 

Für die letzten zwölf Monate gestaltet sich die Top-Liste wie folgt:

10. Java von Oracle

Bild

«Java ist eigentlich im Begriff im Browser zu sterben, bleibt vorerst aber für Angriffe noch relevant», sagt Ruef. Java ist eine Laufzeitumgebung, die für das Ausführen gewisser Programme auf PCs und Macs installiert sein muss. Allerdings hat Oracle seit Jahren ein Versions-Chaos, sodass auf vielen Computern veraltete und somit löchrige Java-Versionen existieren.

Auf vielen (älteren) Windows-Laptops ist Java vorinstalliert. Da den meisten Usern nicht bewusst sein dürfte, für was sie Java brauchen, werden vermutlich viele Update-Meldungen ignoriert. Solch veraltete Java-Versionen sind das ideale Angriffsziel für Hacker. Wer nicht weiss, ob er Java braucht, braucht es vermutlich auch nicht und sollte es deshalb deinstallieren. Zumindest im Browser ist Java für 90 Prozent der Benutzer überflüssig.

9. Firefox von Mozilla

Bild

Gefährlich sind insbesondere Browser-Erweiterungen, die vor allem bei Firefox und Chrome verbreitet sind. Hola etwa, eine beliebte Erweiterung für Chrome und Firefox, verschleierte nicht nur den Standort des Nutzers, wie es das Mini-Programm eigentlich verspricht. Laut Sicherheitsforschern zapfte es zusätzlich die Internetverbindung an. Die so beschafften Zugänge werden dann an zahlende Kunden verkauft, die sie beispielsweise zum Ausführen von Botnetz-Angriffen missbrauchen.

8. macOS von Apple

Bild
bild: starecat

Der Mac hat in den letzten Jahren Marktanteile gewonnen und ist somit zum lukrativen Angriffsziel für Kriminelle und Nachrichtendienste geworden. «Die Preise für Angriffstools, die sich gegen macOS richten, steigen, werden aber Windows wohl nie einholen können», sagt Ruef. Im Juli 2016 wurde etwa bekannt, dass Angreifer Mac-Nutzern über eine manipulierte Bilddatei sehr einfach Schadsoftware unterjubeln können, um sie auszuspähen oder Passwörter zu klauen. Das Perfide: Der Nutzer musste die Datei nicht mal öffnen, es reichte, wenn sie der Angreifer auf das Apple-Gerät (Mac, iPhone und iPad) schickte. 

Für Mac-Nutzer gilt generell, dass sie nebst den Betriebssystem-Updates auch immer die neusten Updates für iTunes und den Safari installieren sollten, da sich Hacker auch über Lücken in iTunes, Safari oder Quicktime Zugriff verschaffen können.

7. Internet Explorer von Microsoft

Bild

Mit Windows 10 schickte Microsoft den Internet Explorer eigentlich in Rente. Auf vielen PCs wird der löchrige Browser aber noch Jahre im Einsatz bleiben. Microsofts eigener Nachfolger des Internet Explorers heisst Edge und ist bei Windows 10 vorinstalliert. Edge ist laut Statistik ähnlich sicher wie Chrome und Firefox, doch grundsätzlich bieten alle Browser Angriffsflächen für Hacker. IT-Sicherheitsspezialisten empfehlen deshalb, sich für einen Webbrowser zu entscheiden und allenfalls andere installierte Browser loszuwerden.

Für den Durchschnittsanwender sind momentan rein aus der Sicherheitsperspektive Firefox, Safari und der wenig verbreitete Opera zu bevorzugen, da sich die meisten Angriffe gegen den populäreren Chrome-Browser richten. Das Problem: Wenn nun alle auf Opera wechseln würden, wird halt dieser in zwei bis drei Jahren die neue Nummer 1 bei den Hackern werden.

6. Acrobat Reader von Adobe

Bild

Nebst Flash ist Adobes Acrobat Reader eines der Hauptangriffsziele im Netz. Google und Mozilla haben daher bereits reagiert und Chrome sowie Firefox mit einem eigenen PDF-Reader ausgestattet. Wer also im Browser PDF-Dateien öffnen will, sollte Adobes PDF-Reader loswerden, da man ihn zumindest für Chrome, Firefox, Safari und Edge schlicht nicht braucht.

Der Acrobat Reader kann wie jedes andere Programm in der Windows-Systemsteuerung beziehungsweise im Programme-Ordner auf dem Mac deinstalliert werden. Mac-User müssen das Programm Acrobat Uninstaller starten, um den PDF-Reader restlos zu löschen.

5. Chrome-Browser von Google

Bild
bild: chromefans

Chrome ist spätestens seit 2016 der weltweit meistgenutzte Browser, was ihn für Kriminelle zum Top-Angriffsziel macht. Statistisch gesehen sind daher Mozillas Firefox, Apples Safari oder Opera zu bevorzugen. Doch auch hier gilt das Problem: Wenn nun alle auf Opera wechseln würden, würde vermutlich dieser die neue Nummer 1 bei den Hackern. Für den Durchschnittsnutzer ist vor allem wichtig, dass man die Finger lässt von Plugins und Erweiterungen aus fragwürdigen Quellen.

4. Flash von Adobe

HTML5 ist Flash in allen Belangen überlegen. Daher: Weg mit dem Flash Player!
HTML5 ist Flash in allen Belangen überlegen. Daher: Weg mit dem Flash Player!

Adobes Flash Player ist seit Jahren einer der grössten Gefahrenherde im Internet. Das Browser-Plugin zum Abspielen von Videos nistet sich direkt im Browser ein, was Hackern bei einer Sicherheitslücke – und davon gibt es viele – Tür und Tor öffnet.

Die weite Verbreitung in fast allen Browsern macht Flash als Angriffsziel besonders beliebt. Die gute Nachricht: Alle wichtigen Browser-Hersteller haben angekündigt, Flash standardmässig zu blockieren. Flash-Inhalte können dann nur abgespielt werden, wenn der Nutzer das Plugin selbst aktiviert.

Bei Winfuture findet sich eine Anleitung, wie man das Flash-Plugin in seinem Browser dauerhaft oder auf Wunsch nur temporär deaktivieren kann.

watson rät, den Flash Player vollständig zu löschen, sofern man nicht zwingend darauf angewiesen ist bzw. das Plugin nur auf einzelnen Seiten freizugeben. YouTube, Netflix und alle modernen Webseiten funktionieren heutzutage perfekt ohne Flash. Um Flash vollständig vom PC oder Mac zu entfernen, muss man das Flash-Player-Deinstallationsprogramm für Windows oder Mac herunterladen und ausführen. 

3. Windows von Microsoft

Bild

Microsofts Windows ist so etwas wie der All-Time-Favorit für Angreifer, wofür es mehrere Gründe gibt: Das Betriebssystem läuft weltweit auf 90 Prozent aller Computer und ist sowohl bei Privaten, Firmen als auch im wissenschaftlichen Umfeld populär. Ob Industriespionage, Phishing-Angriffe oder Erpresser-Trojaner, Windows-Geräte sind auf jeden Fall ein lukratives Ziel. Microsoft kann sich zwar rühmen, dass 2016 bei Windows 10 (172) weniger Schwachstellen bekannt wurden als bei Apples macOS (215), aber die noch immer weit verbreiteten älteren Windows-Version sind für Kriminelle ein gefundenes Fressen.

Da auf (älteren) Windows-PCs löchrige Software wie Java, Acrobat Reader und Flash nach wie vor verbreitet ist, sind unvorsichtige Windows-Nutzer, die ihre Software nicht auf dem neusten Stand halten, statistisch gesehen Angriffen besonders oft ausgesetzt.

2. Android von Google

android fanboys fanatiker

Android läuft weltweit auf über 80 Prozent aller Smartphones und erobert weitere Bereiche wie Smart-TVs, Autos oder vernetzte Haushaltsgeräte. Die grosse Verbreitung macht es zum lukrativen Angriffsziel. Kommt hinzu, dass sehr viele Nutzer mit veralteten Android-Versionen unterwegs sind, da die meisten Smartphone-Hersteller ihre (günstigeren) Geräte nicht bzw. nicht schnell genug mit Sicherheits-Updates versorgen.

Wichtig: Android ist nicht gleich Android, da jeder Geräte-Hersteller seine eigene Android-Version auf den Smartphones installiert. Weltweit dürften Hunderte modifizierte Android-Versionen im Umlauf sein, was erklären könnte, warum im letzten Jahr 523 Schwachstellen in Googles Betriebssystem bekannt wurden. Anders gesagt: Wer Googles Pixel-Phone mit der jeweils neusten Android-Version nutzt, läuft bestimmt weniger Gefahr kompromittiert zu werden als ein Nutzer, der ein Billig-Handy mit veralteter Software nutzt.

1. iOS von Apple

Apples iPhone-Betriebssystem geriet 2016 wiederholt mit gravierenden Sicherheitslücken in die Schlagzeilen. 

Bild
screenshot: Google 

Eine Schwachstelle im iPhone hat watson selbst in Zusammenarbeit mit Scip aufgedeckt. Sie sorgte weltweit für Aufregung, da mit einem bestimmten WhatsApp-Video das iPhone des Empfängers lahmgelegt werden konnte. Diese vergleichsweise harmlose Lücke wurde von Apple 34 Tage nach unserer Meldung gestopft. Andere Sicherheitslücken in iOS waren aber weit gefährlicher. Ein paar Beispiele unter vielen:

  • 2016 wurden raffinierte Schadprogramme für iOS wie Pegasus bekannt, mit denen Kriminelle und Geheimdienste über Monate oder Jahre Apple-Nutzer aus der Ferne vollumfänglich ausspionieren konnten. Pegasus war ein sogenannter Zero-Day-Exploit. Darunter verstehen Experten das Ausnutzen einer Schwachstelle, die noch nicht allgemein bekannt und daher auch noch nicht gestopft werden konnte.
  • Im Juli 2016 wurde bekannt, dass Angreifer iOS-Nutzern über eine manipulierte Bilddatei sehr einfach Schadsoftware unterjubeln können, um sie auszuspähen oder Passwörter zu klauen. Die Lücke war besonders gravierend, da es reichte, wenn der Angreifer das Foto auf das Apple-Gerät (Mac, iPhone und iPad) schickte. Der Nutzer musste die Datei nicht mal öffnen, um sein Gerät zu infizieren.
  • Im August haben deutsche Sicherheitsforscher weitere Löcher in Apples iOS gefunden. Die Schwachstellen ermöglichten Apps von Dritten den eigentlich verwehrten Zugriff auf die Nutzerdaten und den Eingriff ins Betriebssystem.
  • Im März ist es US-Forschern gelungen, die iMessage-Verschlüsselung in iOS 9 zu knacken. Sie haben Apple die Lücke gemeldet, und zugleich darauf aufmerksam gemacht, dass eine modifizierte Version der Attacke auch in späteren iOS-Versionen funktionierte.

Solche schwerwiegenden Lücken, die über lange Zeit unentdeckt bleiben, sind für kaufkräftige Angreifer besonders interessant, was iOS im Ranking von Scip für das Jahr 2016 den ersten Platz einbrachte.

Wie entsteht die Rangliste?

Würde man eine Risiko-Rangliste allein aufgrund der Anzahl Schwachstellen erstellen, wäre Android weit unsicherer als iOS. In dieses Ranking der Schweizer Sicherheitsfirma fliessen aber insgesamt 74 Faktoren ein, um die risikoreichste Software zu bestimmen: Etwa die Verbreitung des Betriebssystems, der Schweregrad der Sicherheitslücke, wie leicht sie ausgenutzt werden kann und wir lange der Software-Hersteller braucht, um sie zu schliessen.

Ein Platz auf der Liste heisst also nicht zwingend, dass die Software schlecht programmiert ist. Es bedeutet aber auf jeden Fall, dass die Programme und Betriebssysteme aufgrund ihrer Popularität im Fokus der Angreifer stehen.

Die folgende Liste zeigt die Betriebssysteme, an denen Kriminelle und Nachrichtendienste besonders interessiert sind:

  • Apple iOS
  • Google Android
  • Microsoft Windows
  • Apple macOS 
  • Linux
  • Oracle Solaris
  • IBM AIX
  • HP-UX

Warum steht iOS 2016 an der Spitze? «Kaufkräftige Angreifer haben es immer mehr auf iOS-Geräte abgesehen», sagt Ruef. Die Preise für Schadprogramme, um iOS auszuspionieren, seien seit einigen Jahren sehr hoch und hätten ab 2013 richtig durchgestartet. «Die exorbitanten Preise, die da zu sehen sind, sind in erster Linie durch Nachrichtendienste getrieben», sagt der Schweizer Sicherheitsspezialist.

«Diese hochpreisigen Exploits (Schadprogramme) für das iPhone werden aber nicht einfach nur bei ganz ‹normalen Nutzer› verwendet. Oftmals kommen sie gegen ‹High Value Targets› wie Politiker oder Firmenchefs zum Einsatz.» Daher sei die Chance für den «durchschnittlichen User» immer noch höher, dass er von einer Lücke in Windows als bei iOS betroffen ist.

100 lustige und skurrile Witze, die nur Nerds verstehen

1 / 102
100 lustige und skurrile Witze, die nur Nerds verstehen
Wenn du eine Pizza mit Radius z und der Dicke a hast, ist ihr Volumen V = Pi (z*z) a.
Auf Facebook teilenAuf X teilen
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
27 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
The Destiny // Team Telegram
31.01.2017 14:09registriert Mai 2014
Firefox unsicher?
Bitte, in eurem Bsp. Geht es um ein Add-on und nicht um den Browser an sich.

Dank den Add-ons, die es für Firefox gibt, ist er viel sicherer als bspw. Safari.

Safari ist mittlerweile der gröste Müll und das kommt von einem Apple-User.
446
Melden
Zum Kommentar
avatar
_stefan
31.01.2017 14:20registriert September 2015
Als Nr. 1 hätte ich das menschliche Gehirn erwartet. Wird aber wahrscheinlich unter Hardware geführt ;-)
362
Melden
Zum Kommentar
avatar
Randen
31.01.2017 13:57registriert März 2014
Ok also Android ist sicherer weil man schlicht nicht mehr genau feststellen kann welcher Nutzer von welchen Lücken betroffen ist? Weil sich viele illegale und legale Verbrecher iOS Lücken kaufen wollen ist iOS das unsicherste System? Was für ein unglaublich wertvoller Beitrag.
4422
Melden
Zum Kommentar
27
Apple-Chef Tim Cook lobt China – gleichzeitig wirft das Regime Microsoft und Intel raus
China verbannt Microsoft und die Chip-Hersteller AMD und Intel aus Regierungscomputern sowie staatseigenen Unternehmen. Zeitgleich bezirzt das Regime über 100 westliche Wirtschaftskapitäne in Peking.

Chinas Wirtschaft lahmt. Die ausländischen Investitionen sind in den ersten beiden Monaten des Jahres um fast 20 Prozent zurückgegangen und so tief wie seit Jahrzehnten nicht. Die Führung in Peking wirbt daher in diesen Tagen auf dem jährlichen «China Development Forum» um die Gunst der westlichen Wirtschaftskapitäne.

Mit dabei in Peking Apple-Chef Tim Cook, der zuvor noch rasch in Schanghai einen riesigen neuen Apple-Store eröffnete. Apple kämpft in China um sein wichtiges iPhone-Geschäft, da immer mehr Chinesen zu heimischen Marken wie Huawei greifen und die iPhone-Verkäufe zuletzt abstürzten.

Zur Story