- Anzeigen -


Sie sind hier: Home » Produkte / Services » Hintergrund

Mit einem hohen Schweregrad eingestuft


Windows 10: Wie sicher ist das neueste Microsoft-System wirklich? -28 Schwachstellen der Kategorie hoher Schweregrad in den ersten drei Monaten
Fast doppelt so viele Sicherheitslücken wie sämtliche Vorgängersysteme in diesem Zeitraum - Windows 8.1 sicherstes Microsoft-Betriebssystem aller Zeiten

(07.12.15) - 100 Tage nach dem Start von Windows 10 haben die Experten für Schwachstellenmanagement von Greenbone Networks die Sicherheit des neusten Microsoft-Systems auf Herz und Nieren geprüft. Ein Vergleich mit den Vorgänger-Produkten zeigt: Mit 28 in den ersten drei Monaten identifizierten Sicherheitslücken der Kategorie "hoher Schweregrad" schneidet das neueste Release deutlich schlechter als die Vorversionen ab. Windows 8.1 stellt mit lediglich 5 in den ersten 100 Tagen und durchschnittlich 4,4 seit Veröffentlichung publizierten "schwerwiegenden Schwachstellen" im Monat das sicherste Microsoft-Betriebssystem aller Zeiten.

Greenbone hat in ihrer Analyse der Windows-Systeme von 2001 (Windows XP) bis heute (Windows 10) nur Sicherheitslücken betrachtet, die nach dem Common Vulnerability Scoring System (CVSS) mit einem hohen Schweregrad eingestuft wurden. Mit diesem Industriestandard werden Sicherheitslücken nach verschiedenen Kriterien bewertet, so dass eine Prioritätenliste für Gegenmaßnahmen erstellt werden kann. Die Skala beim CVSS reicht von 0 (niedrig) bis 10 (hoch). "Ab 7 gilt die Lücke als hoher Schweregrad, was bedeutet, dass ein Angreifer wenig bis gar keine Mühen hat, diese über das Internet auszunutzen", erklärt Dirk Schrader, CMO von Greenbone Networks. "Das neue Betriebssystem Windows 10 weist dabei bereits nach drei Monaten mehr schwere Sicherheitslücken (28) aus als Windows 8.1 nach einem Jahr (24). Immerhin aber hat Microsoft selbst alle 28 Schwachstellen von Windows 10 veröffentlicht."

Zum Vergleich: Bei Windows Vista und Windows 8 wurden in den ersten 100 Tagen lediglich 15 und damit knapp halb so viele Schwachstellen der Kategorie hoher Schweregrad festgestellt. Nur Windows 7 schnitt mit 22 im Vergleichszeitraum identifizierten schweren Sicherheitslücken ähnlich schlecht ab. Auch in der Langzeitanalyse hat sich Windows 8.1 als bislang sicherstes Microsoft-Betriebssystem erwiesen. Mit im Schnitt insgesamt nur 4,4 publizierten schweren Schwachstellen pro Monat liegt die Version 8.1 deutlich auf dem ersten Platz - gefolgt von Windows 8 mit durchschnittlich 4,8 und Windows XP mit durchschnittlich 5,45 monatlich identifizierten Lücken mit einem CVSS-Wert höher 7. Noch schlechtere Ergebnisse als Windows 10 (8,4) erzielte nur Windows 7 mit 8,95 entdeckten Schwachstellen pro Monat.

"Microsoft hat mit Windows 10 eine ganze Reihe neuer Sicherheitstechniken eingeführt. Allerdings wird die Zukunft noch zeigen müssen, ob sich die Sicherheit dadurch tatsächlich erhöht oder neue Lücken hinzu gekommen sind" führt Lukas Grunwald, CTO von Greenbone die Analyse weiter aus. "Die schon bekannten Probleme mit Zertifikaten und dem Downgrade des neuen Edge-Browsers sind jedoch kein gutes Zeichen."

"Angesichts der zunehmenden Cyber-Kriminalität ist es für Unternehmen wie auch Privatpersonen immer wichtiger, die Angriffsfläche der eigenen Systeme möglichst gering zu halten. Interessanterweise waren 99,9 Prozent aller 2014 ausgenutzten Schwachstellen länger als 12 Monate bekannt - umso wichtiger ist es daher, dass Anwender ihr Betriebssystem sorgfältig auswählen und zeitnah Sicherheits-Patches einspielen", so Schrader abschließend. (Greenbone Networks: ra)

Greenbone Networks: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Hintergrund

  • Erweiterung des DMTF Redfish API-Protokolls

    Die Storage Management Initiative (SMI) der Storage Networking Industry Association (SNIA) meldet die Bereitstellung von Version 1.0 der "SNIA Swordfish"-Speichermanagement-Spezifikation. Diese Spezifikation erweitert die "Redfish"-Anwendungsprogrammierschnittstelle (API) der Distributed Management Task Force (DMTF), damit diese die Speichergeräte und -Services handeln kann, die heutzutage in modernen Rechenzentren zu finden sind. Durch die Erweiterung des DMTF Redfish API-Protokolls und -Schemas hilft die SNIA Swordfish Spezifikation bei der Bereitstellung eines einheitlichen Managementansatzes für die Speicher und Server in Hyperscale- und Cloud-Umgebungen, was es IT-Administratoren wiederum einfacher macht, skalierbare Lösungen in ihre Rechenzentren zu integrieren.

  • Kurzlebige Zertifikate sind leicht zu verwalten

    Zertifikate mit kurzer Gültigkeitsdauer setzen sich vermehrt durch, um die Menge der kompromittierten Daten zu reduzieren, wenn eine Server-Schwachstelle aufgedeckt wird, wie z.B. HeartBleed. Eine gute Sicherheitspraxis schreibt vor Schlüssel regelmäßig zu ändern, normalerweise einmal im Jahr. Will man das Risiko weiter begrenzen, ersetzt man Zertifikate und die zugrunde liegenden Schlüssel häufiger.

  • Mit einem hohen Schweregrad eingestuft

    100 Tage nach dem Start von Windows 10 haben die Experten für Schwachstellenmanagement von Greenbone Networks die Sicherheit des neusten Microsoft-Systems auf Herz und Nieren geprüft. Ein Vergleich mit den Vorgänger-Produkten zeigt: Mit 28 in den ersten drei Monaten identifizierten Sicherheitslücken der Kategorie "hoher Schweregrad" schneidet das neueste Release deutlich schlechter als die Vorversionen ab. Windows 8.1 stellt mit lediglich 5 in den ersten 100 Tagen und durchschnittlich 4,4 seit Veröffentlichung publizierten "schwerwiegenden Schwachstellen" im Monat das sicherste Microsoft-Betriebssystem aller Zeiten.

  • Digitales Zertifikat - Digitale Signatur

    In einem sind die Deutschen wieder mal ziemlich gut: Nur in wenigen Ländern verbrauchen die Menschen mehr Papier als hierzulande. Von einem rein Digitalen Workflow wird seit Jahren, wenn nicht Jahrzehnten gesprochen. In einigen Branchen hat er sich mehr oder weniger etabliert, andere produzieren weiterhin Tonnen von Papierwerken. Digitale Prozesse sind effizienter und der Papierverbrauch geht zurück. Zudem gibt es zahlreiche Branchen, in denen ein digitaler Workflow unmittelbar einleuchtet. Dazu gehören die Architektur- und Baubranche, der Finanz- und Telekommunikationssektor, das Gesundheitswesen, aber auch Handel und Versorgungsunternehmen profitieren. Wenn es allerdings um Dokumente geht, die signiert und unterschrieben werden müssen, wird vielfach noch ausgedruckt. Mehrmals. Denn in vielen Branchen gibt eine große Zahl an Dokumenten, die eindeutig und unter Umständen sogar von mehreren Personen verifiziert werden müssen.

  • IAM-Technologie versucht Ordnung schaffen

    Wenn wir auf vernetzte Daten zugreifen, durchlaufen sie mehrere Ebenen, vom physikalischen Kabel bis hin zur Anwendung selbst. Lässt sich dieses Schichtenmodell auch auf Identitäten übertragen? Ebene 0: Die "Seriennummer" Verbundene Geräte haben eine Identität. In den meisten Fällen ist das eine Seriennummer. Jeder Hersteller weist einem Gerät auf dem Fließband eine eindeutige Zeichenfolge zu. Eine Seriennummer an sich übernimmt keine Schutz- oder Sicherheitsfunktionen. Sie identifiziert lediglich das Gerät und kann nicht geändert werden. Nicht nur Geräte haben eine Seriennummer, auch einige andere Dinge zum Beispiel Ausweise und Rechnungen über 100 Euro.