Update-Probleme auch bei Open Source

"Das klingt sehr nach Microsoft-Bashing. Andere Hersteller und auch die Open-Source-Community haben genauso Probleme", meint der IT-Security-Consultant Thomas Mandl im Gespräch mit pressetext und sieht die FSFE-Kritik überzogen. Sicherheitslücken tauchen in jedem Software-Produkt auf. Auch die freie Windows-Alternative Linux ist vor kritischen Schwachstellen nicht gefeit. "Die Hersteller reagieren auch hier nur innerhalb von einigen Wochen, da Bugfixes getestet werden müssen, bevor man einen Kernel-Patch herausgibt", sagt Mandl. Dass sich Microsoft im Vergleich zu anderen Software-Anbietern besonders nachlässig verhalte, glaubt er nicht. Doch die Anwender könnten mehr Verantwortung übernehmen.

Dafür, wie häufig Schwachstellen in Software-Produkten sind, gibt es viele Beispiele. "Wenn man weiß, wie es geht, kann man die aktuellsten Nokia-Handys mit einer SMS lahm legen", so Mandl. Er verweist weiters darauf, dass nach aktuellen Studien Adobe-Produkte und Plug-ins im Browser äußerst beliebte Ziele für Angreifer sind. Dass Anbieter proprietärer Software Probleme nur selbst lösen können, stimme zwar - sei aber ein fragwürdiges Argument. "Wenn ich Linux einsetze und kein absoluter Kernel-Guru bin, muss ich ebenso auf Patches etwa für Red Hat, SuSE, Ubuntu oder Debian warten", so der Sicherheitsexperte. Die Updates müssen letztendlich von den Anbietern oder Betreuern der jeweiligen Distribution kommen - ähnlich wie bei Windows von Microsoft.

"Wer letztendlich schneller reagieren kann, hängt wohl von der Komplexität des Problems ab und davon, wie viele unterschiedliche Systeme und Versionen man noch unterstützen muss", meint Mandl. Bei Microsoft seien viele unterschiedliche Sprachen und Betriebssysteme zu behandeln - was für schnelle Problembehebungen kein Vorteil sein dürfte. Ob nun Linux-Distributionsanbieter oder Microsoft, die Software-Hersteller sind nicht die einzigen, an denen die Sicherheit in der IT scheitern kann. Ein gutes Beispiel dafür ist der Wurm "Conficker". Er nutzt eine Lücke, die vor rund einem Jahr von Microsoft geschlossen wurde - und wurde erst Anfang 2009 durch Infektionen rund um die Welt richtig bekannt. Denn vielerorts wurde der Patch einfach nicht zügig eingespielt.

Im Zusammenhang mit einer aktuellen Lücke im Adobe Reader wiederum verweist Mandl darauf, dass der Hersteller die neueste Programmversion schnell aktualisiert hat, der Vorgang bei älteren Versionen aber deutlich länger dauerte. "In der Zwischenzeit wurde geraten, JavaScript im Adobe Reader abzudrehen. Die Frage ist, welcher User das wirklich macht", so der Sicherheitsexperte. Das sei für ihn ein gutes Beispiel, dass sich Nutzer immer nur auf den Software-Hersteller verlassen, damit der einen Patch zeitgerecht zur Verfügung stellt. "In Wirklichkeit liegt die Verantwortung schon lange beim Anwender selber", so Mandl abschließend. (pte/cvi)