Fragwürdige BSI-Schwachstellenampel

Anfang März stellte das Bundesamtes für Sicherheit in der Informationstechnik (BSI) seine sogenannte Schwachstellenampel vor. Sie ist als regelmäßig aktualisierter Indikator für Sicherheitslücken in gängigen Software-Produkten gedacht.

Kritische Java-Lücken werden auf PC und Mac in großem Stil ausgenutzt

Es ist der 3. April. Zahlreiche Medien1 und Sicherheitsspezialisten warnen seit Tagen vor in großem Stil durchgeführten Computer-Angriffen, die auf Sicherheitslücken in Java abzielen. Für Windows wurden die aktuell ausgenützten Schwachstellen (fünf davon hatte Oracle in die höchste Risikoklasse einordnet) bereits Mitte Februar durch Java SE 7 Update 3 bzw. Java SE 6 Update 31 geschlossen2. Natürlich haben zahlreiche PC-Anwender dieses Update derzeit immer noch nicht eingespielt. Für Mac-User sieht es noch schlechter aus, denn Apple hat noch gar keine gepatchte Version seiner hauseigenen Java-Implementierung ausgeliefert, weshalb Apple-Jüngern von Sicherheitsfachleuten empfohlen wird, auf ihren Macs Java komplett zu deaktivieren bis ein entsprechendes Update verfügbar ist (Stichwort: „Flashback-Trojaner”).

Schwachstellen in der Schwachstellenampel

Um wohl genau solchen Gefahren zu begegnen, hat das BSI vor einem Monat seine Schwachstellenampel ins Netz gestellt: „Die Schwachstellenampel ist ein Indikator, der die aktuelle Sicherheitslage in Bezug auf Sicherheitslücken in gängigen Softwareprodukten verdeutlicht.” Wir schauen nach:

Als letztes Änderungsdatum wird derzeit der 20.03.2012 angegeben.

BSI Schwachstellenampel 1

Dass das so beruhigend aussieht, wirkt auf mich unter den gegebenen Umständen natürlich sehr beunruhigend. Es gibt dann noch eine weitere Tabelle mit „Informationen zu Schwachstellen, ohne dass diese zuverlässig einem bestimmten Produkt des jeweiligen Herstellers zugeordnet werden können.” Das trifft für den oben genannten Fall zwar nicht zu, aber der Vollständigkeit halber bilde ich auch diese Tabelle hier ab.

BSI Schwachstellenampel 2

Ich verstehe nicht wem diese Ampel was mitteilen möchte. Tatsache ist, dass alle Mac-Anwender Java vollständig deaktivieren und alle PC-Anwender sich nur dann sicher fühlen sollten, wenn sie sich vergewissert haben, dass ihr System mit der aktuellen Java-Version läuft. Inwiefern diese Schwachstellenampel dabei behilflich sein soll ist mir unverständlich, und in der gegenwärtigen Form halte ich sie sogar eher für kontraproduktiv.

Alternative: Secunia PSI

Wie es richtig ginge, zeigt das dänische Sicherheitsunternehmen Secunia mit seinem Tool Secunia PSI (Personal Software Inspector)3. Die für Privatanwender kostenlose Software durchsucht den Computer nach ausführbaren Programmen, meldet Verwundbarkeiten und bietet automatische oder manuelle Lösungen an.

Freilich braucht man ein gewisses Maß an Vertrauen zu einem Anbieter, wenn man ihn den eigenen Softwarebestand scannen lässt. Während viele Anwender Secunia dieses Vertrauen entgegenbringen, da das Unternehmen als Sicherheitsspezialist im Missbrauchsfall um seinen hervorragenden Ruf und somit um sein geschäftliches Überleben bangen müsste, haben deutsche staatliche Institutionen in Zeiten verfassungswidriger Bundestrojaner dieses Vertrauen natürlich längst verspielt. Der Versuch des BSI, eine ähnliche, nützliche Lösung anzubieten, würde nicht nur bei der viel zitierten „Netzgemeinde” allenfalls höhnisches Gelächter erzeugen. Womöglich ahnt man das beim BSI schon und probiert es gar nicht erst…

Weiterführende Links


Fußnote 1:
Zum Beispiel Heise: Kritische Java-Lücke wird im großen Stil ausgenutzt

Fußnote 2:
Siehe Oracle Java SE Critical Patch Update Advisory – February 2012

Fußnote 3:
Secunia PSI

Share on Facebook Share on Twitter Post to Delicious! Post to Diaspora!
Marc Stenzel

Über Marc Stenzel

Marc Stenzel ist Inhaber der New Media Agentur media deluxe sowie freiberuflich als Marketing- und Projektmanager Online, Dozent und Fachjournalist (DFJV) tätig. Marc Stenzel bloggt hier über aktuelle Themen aus dem fachlichen und räumlichen Umfeld des Unternehmens - mal sachlich, mal humorvoll:
Dieser Beitrag wurde unter Allgemein, E-Business abgelegt und mit , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Ein Kommentar zu “Fragwürdige BSI-Schwachstellenampel”

  1. [...] Verwundbarkeiten in gängiger Software (siehe auch: Fragwürdige BSI-Schwachstellenampel). Genauso wie beim amerikanischen Vorbild, der National Vulnerability Database des National Institute of Standards and Technology (NIST), basieren die Verwundbarkeitsangaben des BSI auf dem Industriestandard [...]

Hinterlasse eine Antwort

*