Mit "Erbsenzählen" kommt man bei der Beurteilung der Sicherheit diverser Softwareprodukten nicht sehr weit. Die Anzahl der gefundenen Sicherheitslücken in einem Produkte als Gradmesser zu nehmen, ist schlicht nicht sonderlich hilfreich, schließlich sagt diese weder etwas über die dadurch ausgehende reale Gefährdung noch über den Umgang der einzelnen Hersteller mit den Problemen etwas aus.

Zugang

Aus diesem Grund hat sich der Sicherheitsexperte Brian Krebs von der Washington Post einer anderen Methode bedient: Er hat sich angesehen, wie häufig die BenutzerInnen einzelner Browser im vergangenen Jahr tatsächlich gefährdet waren.

Gefährdung

Die unrühmliche Spitzenposition nimmt dabei einmal mehr der Internet Explorer 6 ein. Insgesamt 289 Tage lang sahen sich die BenutzerInnen des Browsers mit schweren Sicherheitslücken konfrontiert, für die bereits ein funktionstüchtiger Exploit existierte. Aus BenutzerInnensicht noch schwerer wiegen allerdings wohl die 98 Tage an denen diese Exploits auch aktiv für Einbrüche auf verwundbare Rechner ausgenutzt wurden.

Zeitspanne

Auch wenn in Betracht gezogen wird, dass der Internet Explorer aufgrund seiner großen Verbreitung noch immer das meist attackierte Ziel ist, so weisen diese Zahlen dem Microsoft Sicherheitsteam trotzdem kein sonderlich gutes Zeugnis aus. Die Wartezeiten zwischen Bekanntwerden eines Problems und der Zurverfügungstellung eines Updates sind noch immer zu lang.

Flottere Konkurrenz

Ein wesentlich besseres Zeugnis stellt Krebs dem Mozilla-Projekt aus: Zwar gab es auch für den Firefox eine ganze Reihe von Sicherheitslücken zu vermelden, die reale Gefährdung war aber wesentlich geringer: Nur neun Tage sahen sich die BenutzerInnen des Open Source Browsers mit Lücken konfrontiert, für die es auch einen funktionstüchtigen Exploit-Code gab. Aktiv ausgenutzt wurden diese aber auch in der Zeitperiode nicht. (red)