Gravierende Sicherheitslücken im iPhone, in Android-Smartphones oder Adobes Flash Player sorgten 2016 immer wieder für Schlagzeilen: Das Spionage-Programm Pegasus etwa verschaffte sich dank mehrerer Schwachstellen in Apples iOS weitreichenden Zugang zu iPhones. Mit dem Schadprogramm konnten Unbefugte, vermutlich Geheimdienste, unter anderem Nachrichten und E-Mails mitlesen, Anrufe verfolgen, Passwörter abgreifen, Tonaufnahmen machen und den Aufenthaltsort verfolgen. Sprich so ziemlich alles, was man als Handy-Nutzer nicht will.
Allein im iPhone-Betriebssystem wurden im letzten Jahr 161 neue Schwachstellen gefunden. Bei Windows 10 waren es 172, bei MacOS 215 und bei Android gar 523. Allein daraus kann aber keineswegs gefolgert werden, dass Android unsicherer als Windows 10 oder iOS ist, denn:
Ein Beispiel zur Verdeutlichung: Eine gravierende Schwachstelle, die leicht aus der Ferne ausgenutzt werden kann und Zugriff auf das ganze System erlaubt, kann weit kritischer sein als 20 lokale Schwachstellen, die nur schwer ausgenutzt werden können und dem Angreifer nur sehr eingeschränkten Zugriff erlauben. Rein aus der Anzahl Sicherheitslücken, ohne die eigentliche Gefahr der Lücken zu gewichten, kann somit keine Aussage darüber getroffen werden, welche Software risikoreicher ist.
Die offensichtlichsten Probleme bei dieser Erbsenzählerei: Was wird gezählt? Zählt etwa eine Lücke im Internet Explorer auch als Lücke in Windows? Und wie wird gezählt? Zählt eine Lücke in drei Windows-Versionen als eine oder drei Schwachstellen?
Die oben stehende Grafik sagt eigentlich nur eines aus: Alle populären Betriebssysteme, ob von Apple, Google, Microsoft oder Open Source, sind löchrig wie ein Emmentaler. Ob von den Lücken effektiv grosse Gefahr ausgeht, darüber sagt die Grafik nichts aus.
Das Zählen von Schwachstellen zur Erstellung von Risiko-Statistiken sei in der Sicherheitsbranche zwar üblich, aber auch seit langem umstritten, sagt der Schweizer IT-Experte Marc Ruef.
Das IT-Sicherheitsunternehmen Scip AG aus Zürich geht daher einen etwas anderen Weg: Die Firma unterhält seit über 15 Jahren eine sogenannte Verwundbarkeitsdatenbank, die im Detail enthüllt, wie löchrig die Software von Firmen wie Adobe, Google, Microsoft etc. wirklich ist.
«Dank dieser Datenbank können wir sehr genau sagen, welche Programme die grössten Risiken mitbringen», sagt Ruef, der beruflich Firmen auf Sicherheitslücken abklopft.
Für die letzten zwölf Monate gestaltet sich die Top-Liste wie folgt:
«Java ist eigentlich im Begriff im Browser zu sterben, bleibt vorerst aber für Angriffe noch relevant», sagt Ruef. Java ist eine Laufzeitumgebung, die für das Ausführen gewisser Programme auf PCs und Macs installiert sein muss. Allerdings hat Oracle seit Jahren ein Versions-Chaos, sodass auf vielen Computern veraltete und somit löchrige Java-Versionen existieren.
Auf vielen (älteren) Windows-Laptops ist Java vorinstalliert. Da den meisten Usern nicht bewusst sein dürfte, für was sie Java brauchen, werden vermutlich viele Update-Meldungen ignoriert. Solch veraltete Java-Versionen sind das ideale Angriffsziel für Hacker. Wer nicht weiss, ob er Java braucht, braucht es vermutlich auch nicht und sollte es deshalb deinstallieren. Zumindest im Browser ist Java für 90 Prozent der Benutzer überflüssig.
Gefährlich sind insbesondere Browser-Erweiterungen, die vor allem bei Firefox und Chrome verbreitet sind. Hola etwa, eine beliebte Erweiterung für Chrome und Firefox, verschleierte nicht nur den Standort des Nutzers, wie es das Mini-Programm eigentlich verspricht. Laut Sicherheitsforschern zapfte es zusätzlich die Internetverbindung an. Die so beschafften Zugänge werden dann an zahlende Kunden verkauft, die sie beispielsweise zum Ausführen von Botnetz-Angriffen missbrauchen.
Der Mac hat in den letzten Jahren Marktanteile gewonnen und ist somit zum lukrativen Angriffsziel für Kriminelle und Nachrichtendienste geworden. «Die Preise für Angriffstools, die sich gegen macOS richten, steigen, werden aber Windows wohl nie einholen können», sagt Ruef. Im Juli 2016 wurde etwa bekannt, dass Angreifer Mac-Nutzern über eine manipulierte Bilddatei sehr einfach Schadsoftware unterjubeln können, um sie auszuspähen oder Passwörter zu klauen. Das Perfide: Der Nutzer musste die Datei nicht mal öffnen, es reichte, wenn sie der Angreifer auf das Apple-Gerät (Mac, iPhone und iPad) schickte.
Für Mac-Nutzer gilt generell, dass sie nebst den Betriebssystem-Updates auch immer die neusten Updates für iTunes und den Safari installieren sollten, da sich Hacker auch über Lücken in iTunes, Safari oder Quicktime Zugriff verschaffen können.
Mit Windows 10 schickte Microsoft den Internet Explorer eigentlich in Rente. Auf vielen PCs wird der löchrige Browser aber noch Jahre im Einsatz bleiben. Microsofts eigener Nachfolger des Internet Explorers heisst Edge und ist bei Windows 10 vorinstalliert. Edge ist laut Statistik ähnlich sicher wie Chrome und Firefox, doch grundsätzlich bieten alle Browser Angriffsflächen für Hacker. IT-Sicherheitsspezialisten empfehlen deshalb, sich für einen Webbrowser zu entscheiden und allenfalls andere installierte Browser loszuwerden.
Für den Durchschnittsanwender sind momentan rein aus der Sicherheitsperspektive Firefox, Safari und der wenig verbreitete Opera zu bevorzugen, da sich die meisten Angriffe gegen den populäreren Chrome-Browser richten. Das Problem: Wenn nun alle auf Opera wechseln würden, wird halt dieser in zwei bis drei Jahren die neue Nummer 1 bei den Hackern werden.
Nebst Flash ist Adobes Acrobat Reader eines der Hauptangriffsziele im Netz. Google und Mozilla haben daher bereits reagiert und Chrome sowie Firefox mit einem eigenen PDF-Reader ausgestattet. Wer also im Browser PDF-Dateien öffnen will, sollte Adobes PDF-Reader loswerden, da man ihn zumindest für Chrome, Firefox, Safari und Edge schlicht nicht braucht.
Der Acrobat Reader kann wie jedes andere Programm in der Windows-Systemsteuerung beziehungsweise im Programme-Ordner auf dem Mac deinstalliert werden. Mac-User müssen das Programm Acrobat Uninstaller starten, um den PDF-Reader restlos zu löschen.
Chrome ist spätestens seit 2016 der weltweit meistgenutzte Browser, was ihn für Kriminelle zum Top-Angriffsziel macht. Statistisch gesehen sind daher Mozillas Firefox, Apples Safari oder Opera zu bevorzugen. Doch auch hier gilt das Problem: Wenn nun alle auf Opera wechseln würden, würde vermutlich dieser die neue Nummer 1 bei den Hackern. Für den Durchschnittsnutzer ist vor allem wichtig, dass man die Finger lässt von Plugins und Erweiterungen aus fragwürdigen Quellen.
Adobes Flash Player ist seit Jahren einer der grössten Gefahrenherde im Internet. Das Browser-Plugin zum Abspielen von Videos nistet sich direkt im Browser ein, was Hackern bei einer Sicherheitslücke – und davon gibt es viele – Tür und Tor öffnet.
Die weite Verbreitung in fast allen Browsern macht Flash als Angriffsziel besonders beliebt. Die gute Nachricht: Alle wichtigen Browser-Hersteller haben angekündigt, Flash standardmässig zu blockieren. Flash-Inhalte können dann nur abgespielt werden, wenn der Nutzer das Plugin selbst aktiviert.
Steve Jobs explained in 2010, why he thought Adobe flash was a software that needs to be left out in a post PC... https://t.co/VFCmTBGPhy
— Vamsi Yuvaraj (@vamsi_yuvaraj) 9. September 2016
Bei Winfuture findet sich eine Anleitung, wie man das Flash-Plugin in seinem Browser dauerhaft oder auf Wunsch nur temporär deaktivieren kann.
watson rät, den Flash Player vollständig zu löschen, sofern man nicht zwingend darauf angewiesen ist bzw. das Plugin nur auf einzelnen Seiten freizugeben. YouTube, Netflix und alle modernen Webseiten funktionieren heutzutage perfekt ohne Flash. Um Flash vollständig vom PC oder Mac zu entfernen, muss man das Flash-Player-Deinstallationsprogramm für Windows oder Mac herunterladen und ausführen.
Microsofts Windows ist so etwas wie der All-Time-Favorit für Angreifer, wofür es mehrere Gründe gibt: Das Betriebssystem läuft weltweit auf 90 Prozent aller Computer und ist sowohl bei Privaten, Firmen als auch im wissenschaftlichen Umfeld populär. Ob Industriespionage, Phishing-Angriffe oder Erpresser-Trojaner, Windows-Geräte sind auf jeden Fall ein lukratives Ziel. Microsoft kann sich zwar rühmen, dass 2016 bei Windows 10 (172) weniger Schwachstellen bekannt wurden als bei Apples macOS (215), aber die noch immer weit verbreiteten älteren Windows-Version sind für Kriminelle ein gefundenes Fressen.
Da auf (älteren) Windows-PCs löchrige Software wie Java, Acrobat Reader und Flash nach wie vor verbreitet ist, sind unvorsichtige Windows-Nutzer, die ihre Software nicht auf dem neusten Stand halten, statistisch gesehen Angriffen besonders oft ausgesetzt.
Android läuft weltweit auf über 80 Prozent aller Smartphones und erobert weitere Bereiche wie Smart-TVs, Autos oder vernetzte Haushaltsgeräte. Die grosse Verbreitung macht es zum lukrativen Angriffsziel. Kommt hinzu, dass sehr viele Nutzer mit veralteten Android-Versionen unterwegs sind, da die meisten Smartphone-Hersteller ihre (günstigeren) Geräte nicht bzw. nicht schnell genug mit Sicherheits-Updates versorgen.
Wichtig: Android ist nicht gleich Android, da jeder Geräte-Hersteller seine eigene Android-Version auf den Smartphones installiert. Weltweit dürften Hunderte modifizierte Android-Versionen im Umlauf sein, was erklären könnte, warum im letzten Jahr 523 Schwachstellen in Googles Betriebssystem bekannt wurden. Anders gesagt: Wer Googles Pixel-Phone mit der jeweils neusten Android-Version nutzt, läuft bestimmt weniger Gefahr kompromittiert zu werden als ein Nutzer, der ein Billig-Handy mit veralteter Software nutzt.
Apples iPhone-Betriebssystem geriet 2016 wiederholt mit gravierenden Sicherheitslücken in die Schlagzeilen.
Eine Schwachstelle im iPhone hat watson selbst in Zusammenarbeit mit Scip aufgedeckt. Sie sorgte weltweit für Aufregung, da mit einem bestimmten WhatsApp-Video das iPhone des Empfängers lahmgelegt werden konnte. Diese vergleichsweise harmlose Lücke wurde von Apple 34 Tage nach unserer Meldung gestopft. Andere Sicherheitslücken in iOS waren aber weit gefährlicher. Ein paar Beispiele unter vielen:
Solche schwerwiegenden Lücken, die über lange Zeit unentdeckt bleiben, sind für kaufkräftige Angreifer besonders interessant, was iOS im Ranking von Scip für das Jahr 2016 den ersten Platz einbrachte.
Würde man eine Risiko-Rangliste allein aufgrund der Anzahl Schwachstellen erstellen, wäre Android weit unsicherer als iOS. In dieses Ranking der Schweizer Sicherheitsfirma fliessen aber insgesamt 74 Faktoren ein, um die risikoreichste Software zu bestimmen: Etwa die Verbreitung des Betriebssystems, der Schweregrad der Sicherheitslücke, wie leicht sie ausgenutzt werden kann und wir lange der Software-Hersteller braucht, um sie zu schliessen.
Ein Platz auf der Liste heisst also nicht zwingend, dass die Software schlecht programmiert ist. Es bedeutet aber auf jeden Fall, dass die Programme und Betriebssysteme aufgrund ihrer Popularität im Fokus der Angreifer stehen.
Die folgende Liste zeigt die Betriebssysteme, an denen Kriminelle und Nachrichtendienste besonders interessiert sind:
Warum steht iOS 2016 an der Spitze? «Kaufkräftige Angreifer haben es immer mehr auf iOS-Geräte abgesehen», sagt Ruef. Die Preise für Schadprogramme, um iOS auszuspionieren, seien seit einigen Jahren sehr hoch und hätten ab 2013 richtig durchgestartet. «Die exorbitanten Preise, die da zu sehen sind, sind in erster Linie durch Nachrichtendienste getrieben», sagt der Schweizer Sicherheitsspezialist.
«Diese hochpreisigen Exploits (Schadprogramme) für das iPhone werden aber nicht einfach nur bei ganz ‹normalen Nutzer› verwendet. Oftmals kommen sie gegen ‹High Value Targets› wie Politiker oder Firmenchefs zum Einsatz.» Daher sei die Chance für den «durchschnittlichen User» immer noch höher, dass er von einer Lücke in Windows als bei iOS betroffen ist.