Apple und Linux unsicherer als Windows?!

[Shiny-Flakes]

Hallo,

ich habe einen interessanten Artikel gefunden, der eine Datenbank für Sicherheitslücken in Betriebssystemen mit Daten aus 2014 analysiert und im wesentlichen zu folgendem Ergebnis gekommen ist:

Betriebssystem	Sicherheitslücken gesamt	Schwere Lücken	Mittelschwere Lücken	Schwache Lücken
Apple Mac OS X	147	64	67	16
Apple iOS	127	32	72	23
Linux-Kernel	119	24	74	21
Windows 7	36	25	11	0
Windows 8 & 8.1	36	24	12	0
Windows Vista	34	23	11	0

Man sieht sofort dass sämtliche Apple-Betriebssysteme überraschenderweise ganz oben stehen, also am meisten Sicherheitslücken im Vergangenen Jahr aufweisten. Linux liegt etwas dahinter auf Platz 3. Aber sämtliche aktuellen Windows-Betriebssysteme bilden mit drastischem Abstand das Schlusslicht! Windows 7, Vista und 8 besaßen nur knapp 1/4 so viele Sicherheitslücken wie Mac Os X, also das derivat für Desktopcomputer von Apple.

Der einzige Punkt in dem Apple minimal besser dasteht ist die Schwere der gefundenen Sicherheitslücken. Bei Windows sind alle schwer oder zumindest mittelschwer, bei Apple immerhin 11% nur minderschwer. Allerdings macht es das nicht besser, da Mac Os mehr als doppelt so viele schwere Lücken als Windows aufweist.

Ich möchte damit keinen Flamewar über die 3 Betriebssysteme auslösen. Aber ich finde diese Daten unter dem Hintergrund interessant, dass ja häufig gesagt wird Apple und Linux hätten kaum Probleme mit Viren und wären daher so viel sicherer als Windows. Apple selbst hat bis vor ein paar Jahren sogar damit geworben. Der Punkt ist: Selbst wenn das korrekt ist und es kaum Viren für die beiden Systeme gibt bringt das im Endeffekt doch nichts, wenn das Betriebssystem selbst die größte Sicherheitslücke ist.

Ich meine 147 Lücken in einem Jahr sind schon ne Hausnummer, das wären häufiger als alle 3 Tage eine neue Sicherheitslücke. Und da jede Lücke erst mal entdeckt und behoben werden muss, vergeht jedes mal einiges an Zeit, in der man voll verwundbar ist. Man müsste also schon sehr auf dem Laufenden sein um sich einigermaßen vernünftig schützen zu können.

Was sagt ihr dazu?

Mich selbst erinnert die Schlussfolgerung dieser Daten an eine Aussage von Charlie Miller, die er vor ein paar Jahren auf einer Pwn2own tätigte:

Das Schreiben von Exploits auf dem Mac macht Spaß. Auf Windows ist es harte Arbeit.

Und es bestätigt mich in meiner Einstellung, dass Windows alles andere als unsicher ist wie insbesondere von Apple/Linux Usern gerne behauptet, sondern dass Microsoft gerade durch die hohe Verbreitung und die vielen Angriffe eine gute Verteidigungsstrategie aufbauen konnte, die offensichtlich trotz Viren besser zu funktionieren scheint als unter den Alternativen.

Auch habe ich den gehärteten Verdacht, dass die relativ hohe Anzahl an Sicherheitslücken unter Mac Os schlicht und einfach wegen der geringen Verbreitung kaum auffällt. Wenn Apple rein theoretisch um die 80 Prozent Marktanteil hätte wie Microsoft, wäre die Lage sicher deutlich schlimmer. Aber im Mai diesen Jahres hatte OS X gerade mal gut 8% Marktanteil. Tendenziell steigt der aber eher:



Das heißt Apple wird zunehmend lukrativer für Angreifer und wird damit wird die derzeitige Sicherheitsstrategie zumindest langfristig problematisch werden. Wäre also gut möglich, dass Virenscanner in ein paar Jahren auch unter Os X zum Standard gehören.

[avp6666]

Die Statistik finde ich ....fragwürdig. Warum werden verschiedene aktuelle Windows-Systeme einzeln aufgeführt, dafür aber alle Apple Mac OS X-Versionen zusammengefasst. OS X gibt es seit 2001, iOS auch schon seit 2007. Das gleiche gilt für die Angabe des Linux-Kernels. Der erste Kernel stammt von 1991.
Welche Versionen wurden also für diesen Bericht benutzt? Eine jeweilige Angabe ist für einen fairen Vergleich essentiell. So muss man vermuten, dass einfach veraltete Versionen mitgezählt wurden. Und natürlich wird alles aufsummiert. Wenn man die drei Windows' zusammenzählt und dann noch XP dazupackt, sieht es etwas anders aus. Warum ist da eigentlich iOS drin aber kein Android oder Windows Phone. Ja, Android basiert auf dem Linux-Kernel, ist aber immer etwas veraltet. Wenn das also in den Punkt "Linux-Kernel" mit reingezählt wurde, sollte alles klar sein. Wenn nicht, warum wird iOS extra aufgeführt, aber die anderen Phone-OS' nicht. Fragen über Fragen...

Der zweite Punkt, in meinen Augen viel wichtiger als die Anzahl, ist die Zeit vom Bekanntwerden bis zum Schließen einer Lücke. Denn nur in dieser Zeit bis zum Update ist man bei stets aktuellem System potentiell angreifbar. Bei Linux und Mac klappt das Schließen zeitnah. Bei Windows dauert es gerne mehrere Tage bis Wochen (Stichwort "Patchday"), bis was geschlossen wird - teilweise werden Sachen einfach ausgesessen und es dauert Monate. Aber immerhin bewegt sich Microsoft ja bei Windows 10 endlich mal und schafft den Patchday ab.

Den Punkt der Verbreitung hast Du ja schon selbst angsprochen. Windows ist nach wie vor das verbreiteste OS vor OS X und dem weit abgeschlagenen Linux (ca. 1%). Dadurch ist Windows für Angriffe einfach interessanter, weil man viel mehr Leute erreicht.

Naja... halbgar das.

Achso....und wer zahlt für diese Studie?

[DotNet]

Bei Linux und Mac klappt das Schließen zeitnah. Bei Windows dauert es gerne mehrere Tage bis Wochen (Stichwort "Patchday"), bis was geschlossen wird - teilweise werden Sachen einfach ausgesessen und es dauert Monate

Das stimmt nicht. Der Patchday wird ausschließlich für Updates verwendet die nicht sicherheitskritisch sind. Werden gefährliche Sicherheitslücken entdeckt, bringt Microsoft natürlich sofort ein Update raus, genau wie andere Firmen die sich dem Patchday angeschlossen haben. Ein bekanntes Beispiel ist z.B. Adobe, gerade im Flashplayer gibts ständig neue Sicherheitspatches. Es wäre auch vollkommen absurd mit Sicherheitspatches bis zum nächsten Patchday (der im schlimmsten Fall erst in 30 Tagen ist) zu warten, damit Angreifer ewig Zeit haben die Lücke auszunutzen.

Zur Studie selbst gebe ich dir Recht, aus diesen Gründen ist sie mit Vorsicht zu betrachten. Dennoch hat Shiny-Flakes nicht unrecht, es gibt auf Macs ein ganz anderes Sicherheitsbewusstsein wie im Windows-Umfeld, sowohl bei Apple als auch beim Nutzer. Apple ist das in jünster Zeit wohl erst so recht bewusst geworden, als 2012 fast eine 3/4 Million Macs mit Flashback infiziert waren. Bis dato fühlte sich Apple sehr sicher und schrieb sich "Einfach sicher" und "Sicherheit. Serienmäßig" auf die Fahne. Beide Slogans sind seit Flashback von der Apple-Seite verschwunden. Aber so ganz angekommen scheint die Botschaft bei Apple nicht zu sein wenn man alleine daran denkt, wie Anfang des Jahres ein Virenscanner aus dem Store geworfen wurden mit der Begründung, die Nutzer könnten so "irregeführt" werden zu glauben, es gäbe Viren in iOS...

Es ist einfach ein Irrglaube zu behaupten, unter Mac Os wäre man Virenfrei. Verglichen mit Windows mag es zwar relativ wenig Schadsoftware geben. Aber nicht weil Apple besonders sicher ist, sondern weil Macs eine kleine Nische sind. Für z.B. Symbian wird man auch kaum Schadsoftware finden, weil das kein vernünftiger Mensch mehr benutzt und auch früher nie übermäßig große Marktanteile hatte. Auf Dauer muss Apple also auf jeden Fall reagieren, sonst geht es nicht nur dem Firmenimage schlecht sondern auch den Nutzern.

[akidakon]

Ich hab keine Ahnung, was an dieser Statistik alles manipuliert worden ist, aber Fakt ist, dass Mac OS X und Linux auch weiterhin die sichersten Betriebssysteme sind. Das kann ich aus eigener Erfahrung sagen.

[DotNet]

Dann führe mal bitte konkreter aus was du unter "eigener Erfahrung" verstehst und wir reden weiter. So in der Form ist deine Aussage nämlich nichtssagend weil sich nicht feststellen lässt ob sie auf nachvollziehbaren Fakten beruht oder eher auf das typische Stammtisch-Niveau von wegen "Mit Windows XP hatte ich schon 2 Viren, aber seit ich Linux benutze noch gar keinen" fällt. Ich muss zwar aufgrund deiner Aussage leider eher letzteres annehmen, aber lasse mich gerne positiv überraschen und bin ganz Ohr, falls hinter der Aussage tatsächlich etwas fundiertes stecken sollte.

[patlux]

Die größte Sicherheitslücke sitzt vor dem Rechner. Sprich, dein System kann 100% sicher sein, sobald der User aber einfach alles ausführt und alles anklickt, bringt das allersicherste System nichts. Die Anzahl der Sicherheitslücken spielt dann eher eine untergeordnete Rolle, weil man dann keine Lücke mehr ausnützen muss, man bekommt durch den User den Zugriff aufs System.

[DotNet]

Das ist richtig, aber um den Aspekt geht es hier eben nicht. Sondern stattdessen um die Punkte, welche du als Nutzer wenig bis gar nicht beeinflussen kannst, nämlich die Verwundbarkeit deiner eingesetzten Software. Dazu müsste man eigentlich noch anmerken, dass das Betriebssystem hier eigentlich auch eine untergeordnete Rolle spielt. Die eindeutige Mehrheit der Schwachstellen kommt von den Anwendungen, allen Voran natürlich Plugins für Browser wie Java. Dazu wurde zufälligerweise heute auch im Portal ein guter Artikel veröffentlicht. Wobei ich meine Plugins sowieso schon länger auf Click to Play umgestellt habe, alles andere ist ja vergleichbar damit lachend in eine Kreissäge zu rennen.

Aber wie gesagt, that's not the topic. Hier gehts um den Anteil, den das Betriebssystem hat, und der ja auch durchaus berechtigt ist, wenngleich es auch nicht das größte aller Probleme darstellt.

[Traace]

Kein Unterschied, nicht nennenswert

Gerade erst seit gestern raus das openSSL gerne CA's verteilt

Wobei Apple häufig länger braucht für Systemkritische Updates, die haben auch einige CVE welche schon jahrlang schlummern.

[akidakon]

@DotNet

Eigene Erfahrung bedeutet, dass ich jahrelang Windows (95 bis Windows 7) benutzt habe und jetzt auch schon ein paar Jahre Mac OS X und zwischendurch auch Linux, und es ist für mich ein Unterschied wie Tag und Nacht, wobei Mac OS X die positive Seite darstellt. Ich hatte unter Windows schon öfters Viren (trotz gutem Antivirenschutz), und ich kann dir versichern, das war nicht besonders spaßig (Stichwort automatisches Herunterfahren nach Systemstart). Unter Mac OS X hatte ich dagegen noch nie irgendwelche Probleme mit Viren (zudem gibt es auch nur extrem wenige) und auch nicht mit Systemabstürzen und ähnlichem. Also wenn das für dich nichtssagend ist, weiß ich auch nicht mehr. Ich finde, das es am wichtigsten ist, dass man selbst gut zufrieden ist und gute Erfahrungen gemacht hat. Solche angeblich aussagekräftigen Statistiken spielen da für mich überhaupt keine Rolle.

[OpenFire]

@akidakon

Es ist nichtssagend, da es vom Benutzer abhängt und nicht vom Betriebssystem. Ich hatte z.B. von Windows 3.1 bis Windows 8.1 ebenfalls bereits alles in den Händen, war nie außergewöhnlich vorsichtig und hatte trotzdem nie Probleme mit Viren & Co. Und man könnte mich gewissermaßen als "Power-User" bezeichnen, da mein PC wirklich für alles herhalten und viel mitmachen muss - es ist also nicht so, als würde ich nur gelegentlich mal was googlen und n Textdokument verfassen oder so.

Ein weiterer Punkt ist, dass in dem Artikel erwähnt wurde, dass nur 13% der Sicherheitslücken überhaupt den jeweiligen Betriebssystemen zuzuordnen sind. Das Problem sind also vermutlich vor allem die Programme - und wenn man von der Lauffähigkeit der meisten Programme ausgeht, wird schnell klar, warum viele Nutzer eher schlechte Erfahrungen mit Windows machen als mit anderen Betriebssystemen: Weil auf OS X und Linux von der Masse her einfach kaum Programme laufen.