2005 brachte 5198 Sicherheitslücken

Das Jahr 2005 brachte nach Zählung des US-amerikanischen „Computer Emergency Response Team“ (CERT) genau 5198 erfasste Sicherheitslücken für die Nutzer. Und wenn man nicht so genau hinschaut, schnitten Windows-Systeme dabei sogar besser ab als die Konkurrenz.

Unglücklicherweise veröffentlichen die meisten Linux-Distribution ihre eigene Meldung zu ein und demselben entdeckten Softwarefehler, eben um ihre Nutzer darüber zu informieren. Und jede dieser Veröffentlichungen zählt das US-CERT sodann als eigenständiges Advisory, ganz so, als handele es sich um einen noch nicht bekannten oder erfassten Fehler. Zwar wurden auch viele dieser Meldungen später zusammengefasst, dennoch blieben Updates zu vorhergehenden Meldungen als Einzelanzeige für sich stehen. Weitere Kritiken muss das CERT auch einstecken für mangelhafte Schreibweisen. Da stehen ein und dieselben Advisories in unterschiedlichen Schreibweisen nebeneinander und zählen so auch unabhängig voneinander. Der größte Kritikpunkt an der Veröffentlichung dieser Ergebnisse ist aber, dass es lediglich drei Kategorien von Betriebssystemen nach dem Verständnis des CERT gibt: Windows, Linux/Unix/Mac/BSD als gemeinsame Gruppe und „andere“. Unter den als „andere“ bezeichneten Systemen finden sich Betriebssysteme von Routern und ähnlichem aber auch Betriebssystem-übergreifende Fehler wieder.

Abgesehen von der von Einigen als zu grobschlächtig angesehenen Einteilung finden sich Stimmen, die die Gewichtung einer Sicherheitslücke gerne berücksichtigt gesehen hätten. Da die Advisories nicht nach Schwere eines möglichen Schadens gewichtet sind, finden sich weniger kritische Programmfehler neben großen Sicherheitslücken mit hohem Schadpotential wieder. Wer sich selbst ein genaueres Bild über die Lücken des Jahres 2005 machen möchte, kann dies auf der eigens dafür vom US-CERT eingerichteten Internetseite in einer Gesamtübersicht machen.

Wer aber die Übersichtsseite genauer studiert, findet zu all diesen Vorwürfen auch einen Hinweis des CERT. So sei sie lediglich als eine Zusammenfassung von unterschiedlichen zum Teil aus OpenSource-Quellen stammenden Informationen, die im Laufe des Jahres vom CERT gesammelt und in Einzelveröffentlichungen publik gemacht worden seien. Sie sei ausdrücklich nicht das Ergebnis einer Analyse des CERT. Auch erhebt diese Liste keinen Anspruch auf Vollständigkeit. So könne es durchaus sein, dass zu einem bestimmten Betriebssystem ein Advisory gezählt wurde, zu einem anderen aber nicht, wenn es hierzu keine Einzelveröffentlichung gab.

Information in the US-CERT Cyber Security Bulletin is a compilation and includes information published by outside sources, so the information should not be considered the result of US-CERT analysis. Software vulnerabilities are categorized in the appropriate section reflecting the operating system on which the vulnerability was reported; however, this does not mean that the vulnerability only affects the operating system reported since this information is obtained from open-source information.