Die Arbeit der großen Anbieter an der Sicherheit ihrer Anwendungen macht sich nämlich bezahlt, wie aus einer Studie der X-Force hervorgeht. Zwar müssen die Software-Konzerne immer wieder nachbessern - was sich wohl nicht ändern lässt. Und doch ist laut Günter Ollmann, Direktor für Sicherheitsstrategien bei X-Force, der Anteil der anfälligsten Anbieter an den aufgedeckten Fehlern zwischen 2002 und 2006 um fünf Prozent gefallen.
Die anfälligsten Anbieter sind naturgemäß die Branchen-Größen. Ein Ranking der Sicherheitslücken im vergangenen Jahr schreibt 3,1 Prozent Microsoft zu, 2,1 Prozent Oracle, 1,9 Prozent Apple. Es folgen Mozilla, IBM, Linux, Sun Microsystems, Cisco Systems, Hewlett-Packard und Adobe.
Auf diese zehn Anbieter versammelten sich 2006 964 aufgedeckte Sicherheitslöcher - das ist viel. Und doch relativieren weitere Daten das Ausmaß: Insgesamt zählte die X-Force vergangenes Jahr 7.247 Lücken. Der Anteil der Top Ten liegt damit bei 14 Prozent.
Großunternehmen schließen Sicherheitslücken besser
Diese Größe erscheint schon wieder recht gering, betrachtet man die Marktmacht der zehn Firmen zusammengenommen. Hinzu kommt, dass diese Unternehmen ihre Lecks meistens schließen. Ihnen gelingt es, 86 Prozent der Löcher auszumerzen. Den kleinen Anbietern glückt es hingegen nur, im Schnitt 35 Prozent der Fehler zu beheben. Kein Wunder, dass sie immer mehr zur Zielscheibe von Angriffen werden.
Die X-Force-Studie bietet einen sehr umfassenden Überblick über Security-Langzeit-Trends. Im Monatsdurchschnitt tauchten vergangenes Jahr beispielsweise 604 Lecks auf, im Jahr 2000 waren es lediglich 167. Im Vergleich zum Vorjahr stieg die Anfälligkeit 2006 um fast 40 Prozent.
Dienstags ist das Risiko am größten
Eine gleitende Verschiebung zeigt sich bei den Wochentagen, an denen sich Lücken auftun. Der Mittwoch galt bislang als der Tag, an dem die Gefahr am größten ist. Mittlerweile ist es der Dienstag. An Samstagen und Sonntagen ist die Lage weiterhin mit Abstand am ruhigsten. Allerdings steigt das Risiko auch am Wochenende.
Eindrucksvoll ist die Entwicklung seit drei Jahren in Sachen Gefährlichkeit. Seit 2004 nehmen die mit geringem Risiko behafteten Fehler zwar stetig zu. Genauso kontinuierlich sinkt aber auch die Zahl der gravierenden Lücken.
In mehr als der Hälfte der beobachteten Fälle stand im vergangenen Jahr der unbefugte Zugang zum System auf dem Spiel. 15 Prozent der Lücken boten Angreifern die Gelegenheit, Daten zu manipulieren. Elf Prozent ermöglichten es Hackern, Dienste oder das ganze System zu stören oder ein Netzwerk lahm zu legen.
Dass die IT-Welt über in Bild-Dateien verborgenen Spam derzeit viel diskutiert, illustriert der Report mit frappierenden Daten. Eine Kurve zeigt, wie sich der Anteil dieser Spam-Spielart seit dem ersten Quartal 2005 von unter fünf Prozent stetig und rasant auf mehr als 40 Prozent erhöht hat.
Ein Zeitstrahl dokumentiert den beschleunigten Rhythmus in der Entwicklung des Image basierten Internet-Mülls. Bereits 1997 existierte die erste Generation, seit 2003 jedoch folgen immer rascher neue Varianten aufeinander. In diesem Jahr treibt die fünfte Generation ihr Unwesen: Unscheinbar in die E-Mails eingebettete Bild-Dateien erzeugen bunten Hintergrund. Gegen dies oder gegen animierte GIF-Bilder sind herkömmliche Enttarnungsmethoden machtlos.
Deutschland liegt bei Schmuddelseiten auf Platz Drei
Unrühmliche Spitzenpositionen belegt Deutschland übrigens als Herkunftsgebiet von kriminellen und schmuddeligen Internet-Sites. Neun Prozent der Porno- und Sex-Seiten stammen aus der Bundesrepublik - das bedeutet Platz Drei hinter den USA (56 Prozent) und Südkorea (14 Prozent).
Ebenfalls hinter diesen beiden Ländern auf dem dritten Rang liegt Deutschland bei gewaltverherrlichenden Seiten. Sechs Prozent werden hier gehostet. Außerdem gilt das für jede zehnte Web Site, die sich mit illegalen Drogen befasst - Platz Zwei hinter den Vereinigten Staaten (66 Prozent).
Die Studie "2006 Trend Statistics“ der X-Force von IBM Internet Security Systems greift auf die nach eigener Aussage umfassendste Datenbank weltweit zurück. 30.000 Sicherheitslücken sind dort katalogisiert.