Updates gegen 0-Day-Lücken werden schneller installiert

Der Hype um so genannte 0-Day-Lücken hat auch seine guten Seiten. Die betroffenen Software-Hersteller werden durch den öffentlichen Druck zum schnelleren Handeln gezwungen und die bereit gestellten Updates werden eher als sonst üblich installiert. Dies zeigen die gerade veröffentlichten Ergebnisse einer Untersuchung des Sicherheitsunternehmens Qualys.

Wolfgang Kandek, als Qualys-CTO verantwortlich für IT-Sicherheit, hat die Untersuchungen an mehreren 100.000 PCs analysiert. Dabei hat er heraus gefunden, dass Sicherheits-Updates für Windows im Durchschnitt 15 Tage nach ihrer Bereitstellung auf 50 Prozent der Rechner installiert worden sind. Bei 0-Day-Lücken, über die von den Medien viel berichtet wird, beträgt diese Halbwertszeit hingegen nur neun bis zehn Tage. Von 0-Day-Lücken spricht man, wenn ein Exploit verfügbar ist, bevor der Software-Hersteller ein Update bereit gestellt hat.

Als Beispiele nennt Kandek zwei Sicherheits-Updates für den Internet Explorer im Dezember 2009 und Januar 2010. Das IE-Update im Dezember wurde von Microsoft im Rahmen den monatlichen Patch Day ausgeliefert. Die Halbwertszeit betrug zehn Tage. Im Januar hat Microsoft einen IE-Patch außer der Reihe bereit gestellt, der sogar eine Halbwertszeit von neun Tagen erreicht hat.

Microsoft empfiehlt allgemein Sicherheits-Updates binnen 30 Tagen zu installieren. Bis dahin seien meist Exploits verfügbar, um die entsprechenden Sicherheitslücken auszunutzen. Kandek hat jedoch beobachtet, dass etliche Unternehmen diese Frist überschreiten oder die Updates gar nicht installieren, wofür er kein Verständnis habe.

In der letzten Woche hat Microsoft zum zweiten Mal in diesem Jahr außerhalb des Patch-Day-Zyklus ein kumulatives Sicherheits-Update für den Internet Explorer bereit gestellt. Zahlen darüber, wie schnell dieses Update installiert wird, liegen noch nicht vor. (PC Welt/mje)