Risiko Java, Android mit 99% Marktanteil bei Handy-Malware

Üblicherweise an dieser Stelle kein re-blogging von schwer verifizierbarer Hersteller-Studien; weshalb ich es dennoch tue: die Zahlen widerspiegeln für einmal – zumindest gefühlt – unsere Erfahrungen aus der ‹freien Wildbahn›.

Der aktuelle jährlich erscheinende Sicherheits-Bericht von Cisco enthält einige interessante Zahlen. So hat Cisco ermittelt, dass Android, Marktführer bei den Handy-Betriebssystemen mit geschätzten weltweit 75-80% Marktanteil, inzwischen auch 99% aller Malware für Mobiles auf sich zieht. Nicht weiter verwunderlich sind Handys für Hacker besonders attraktiv, lässt sich ein gekapertes Handy noch viel schneller in bare Münze umwandeln als ein ebensolcher PC: es reicht das Senden eines SMS an eine kostenpflichtige Nummer. Eine eigentlich gute Nachricht für iPhones, welche durch sinkende Marktanteile und vor allem durch das von Apple stärker kontrollierte Ökosystem weit weniger betroffen sind; das selbe gilt für Windows Mobiles.

Quelle: Cisco

In unserem geschäftlichen Umfeld relativiert sich die Mobile-Malware Bedrohung da entweder nur iPhones und Windows Mobiles unterstützt sind für den Zugriff auf die typischen Anwendungen wie Microsoft Exchange oder SharePoint. Bei grösseren Infrastrukturen sind BYOD / MDM-Lösungen im Einsatz, welche die Geräte kontrollieren.

Problematischer ist die zweite Kernaussage des Reports: über 91% aller Sicherheitsvorfälle zielen auf Sicherheitslücken in Java, der signifikante Rest zielt auf Adobe Reader und Adobe Flash.

Besonders bei Java ist der regelmässige Update von Sicherheitslöchern nicht gegeben, da etliche Kunden-Anwendungen nur mit bestimmten Java-Versionen lauffähig sind – oft die inzwischen nicht mehr mit Sicherheits-Patches versorgten Versionen 4 oder 6. Hier sollte unbedingt darauf geachtet werden, dass das Java-Plugin im verwendeten Web Browser de-aktiviert ist.

Adobe Reader und Adobe Flash sollten unbedingt regelmässig mit aktuellen Versionen aktualisiert werden. Im Unternehmensumfeld bedeutet dies der Einsatz eines Patch-Managements, also eine zentral gesteuerte, regelmässige Aktualisierung der Software. Im Gegensatz zu Java sind hier die Versions-Inkompatibilitäten minimal.

Die gute Nachricht: nachdem Microsoft vor über zehn Jahren das Internet-Zeitalter beinahe verschlafen hat und zurecht einiges an Kritik bezüglich Sicherheit einstecken musste, wurden die Hausaufgaben danach recht gut erledigt. Im Jahr 2002 wurde die Trustworthy Computing Initiative von Bill Gates persönlich ausgerufen, welche Sicherheit zu einer Prozess- und Produkte-übergreifenden Priorität erklärte. In Windows-Netzwerken ist das Patch Management der Microsoft-Produkte ist mit den Windows Server Update Services (WSUS) kostenlos möglich, sicherheits-relevante Aktualisierungen werden so zeitnah ausgerollt.

Zeit, dass Oracle als Hersteller von Java und Adobe Ihre Hausaufgaben ebenfalls machen um Anwender besser gegen aktuelle und zukünftige Bedrohungen zu schützen.