Die Top 10 der Unsicherheit bei Windows und Unix

Das SysAdmin Audit Network Security Institute (SANS) hat in Zusammenarbeit mit amerikanischen, kanadischen und britischen Sicherheitsbehörden eine Liste mit den anfälligsten Windows- und Unix- bzw. Linux-Anwendungen herausgegeben. Dies ist die vierte Version der Liste, die auf die meist benutzten Sicherheitslücken in Microsoft, Unix und Linux hinweist.
“Die Liste ist ein Konsens von Menschen rund um die Welt, die im Krieg gegen Cybercrime in der ersten Reihe stehen”, sagte Alan Paller, Direktor des SANS-Instituts. Das Konsortium setzt sich aus Sicherheitsprofis aus allen Kontinenten zusammen. Die Liste soll Systemadministratoren helfen, die dringendsten Probleme zu erkennen und an der Wurzel zu packen.

In der nunmehr vierten Ausgabe der Liste ist Microsoft in diesem Jahr mit einigen Neuzugängen in der ‘Hitparade’ dabei: Neu hinzugekommen sind die beiden Outlook-Mailprogramme und Microsofts Peer-to-Peer-Software. Würmer konnten sich in diesem Jahr besonders schnell über die Mailprogramme ausdehnen aber auch P2P-Software öffnet den Hackern Tür und Tor.

Auf fast allen Plätzen der Top 10 der Windows-Verletzlichkeiten stehen Produkte, die als Systemkomponenten oder Anwendungen für Windows von Microsoft selbst produziert werden. Auf Platz eins steht der Internet Information Server (IIS), der Webserver aus Redmond. Der erfolgreiche Angriff des Blaster-Wurms katapultierte den SQL-Server auf den zweiten Platz, dicht gefolgt von Microsofts Passwort-Vorgaben. Der Internet Explorer wird ohne regelmäßige Patch-Pflege ebenfalls schnell zum Risiko und landet auf Platz vier der Liste. Manche Kritiker sähen ihn auch gerne auf Platz eins oder zwei der Hitliste. Zum einen wegen seiner weiten Verbreitung, und zum anderen, weil die Sicherheitslücken so einfach auszunutzen sind.

Auf der Seite von Unix und Linux führt die BIND-Software (Berkeley Internet Domain Name) die Liste der Schwächsten an. Sie wird sehr häufig für die Aufschlüsselung von Domain-Namen eingesetzt. Die Remote Procedure Calls (RPC) von Unix belegen Platz zwei. Die beiden populärsten Webserver- und Mail-Programme, Apache und Sendmail, kommen auf die Positionen 3 und 6.

“Wissen hat einen hohen Stellenwert im Kampf gegen die Sicherheitslücken”, sagt Alfred Huger, Direktor bei Symantec. Es sei sehr wichtig, den Usern die Prioritäten klar zu machen, aber “es ist ein hartes Stück Arbeit, eine Rangliste der Schwachstellen zu erarbeiten, seitdem es so viele gibt, die schwerwiegende Konsequenzen haben können.” Doch ist das Mitglied der Kommission mit der Zusammenstellung zufrieden: “Das ist eine gute Liste, die sehr realitätsnah die tatsächlichen Gefahren wiedergibt.”

Um den Legionen von Sicherheits-Kritikern endlich den Wind aus den Segeln zu nehmen, hat Microsoft-CEO Steve Ballmer auf der Worldwide Partner Conference in New Orleans verkündet, dass die weltweit 600 Millionen Microsoft-Nutzer besser vor Attacken aus dem Internet geschützt werden sollen und entsprechende Schritte angekündigt. In den nächsten Monaten werden verbesserte Prozesse und Technologien für die Verwaltung von Patches auf den Markt kommen. “Unser Ziel ist es, Kunden abzusichern und sie vor der immer größeren Welle krimineller Angriffe zu schützen”, sagte Ballmer.

Außerdem wolle das Unternehmen seinen Partnern und Kunden vermehrt Sicherheitstrainings anbieten und enger mit Behörden zusammenarbeiten, um Viren-Autoren und anderen Hackern besser beikommen zu können. Das Einspielen von Patches solle vereinfacht und verbessert werden. Dazu werde der Konzern die kostenlose Software ‘Update Service 2.0’ ab nächstes Jahr anbieten.