Google sagt, Apple sei schneller als Microsoft – beim Schließen von Sicherheitslücken
52 Tage dauerte es 2021 im Schnitt, bis eine von Googles Project Zero gemeldete Sicherheitslücke geschlossen war. Drei Jahre zuvor lag der Durchschnitt noch bei 80 Tagen.
Seit 2014 sucht das Project Zero von Google Sicherheitslücken in Software und meldet sie an die jeweiligen Hersteller. 376 Lücken waren es in den letzten drei Jahren – von denen die Mehrheit Apple, Microsoft und Google betrafen.
Linux ist am schnellsten
Die Durchschnittszeit bis zur Schließung einer von Project Zero gemeldeten Sicherheitslücke sank von 80 Tagen auf 67, 54 und jetzt 52 Tage im Jahr 2021. Zwischen den Herstellern bestehen aber noch große Unterschiede. So benötigt Apple im Schnitt 64 Tage, Microsoft ist mit 76 Tagen noch langsamer. Google erreicht mit 53 Tagen fast den Durchschnitt, wird aber von Linux mit 15 Tagen in den Schatten gestellt. Die unter «Andere» zusammengefassten Hersteller benötigten im Schnitt 29 Tage. Insgesamt nahm die Zahl der gefundenen Sicherheitslücken pro Jahr ab. Von 199 im Jahr 2019 auf 87 im Jahr 2020 auf zuletzt 63 im Jahr 2021.
| Gefundene Lücken 2019
(Durchschnitt der Tage bis zum Schließen) | Gefundene Lücken 2020
(Durchschnitt der Tage bis zum Schließen) | Gefundene Lücken 2021
(Durchschnitt der Tage bis zum Schließen) | |
|---|---|---|---|
| Apple | 61 (71) | 13 (63) | 11 (64) |
| Microsoft | 46 (85) | 18 (87) | 16 (76) |
| 26 (49) | 13 (22) | 17 (53) | |
| Linux | 12 (32) | 8 (22) | 5 (15) |
| Andere | 54 (63) | 35 (54) | 14 (29) |
Die Zahlen sagen nur etwas darüber aus, wie lange es dauerte, bis das Update veröffentlicht wurde. Die Sicherheitslücke könnte auch bereits nach einem Tag geschlossen sein, aber die Hersteller weichen nur in Ausnahmefällen bei einer besonders schweren Sicherheitslücke von ihren üblichen Update-Zyklen ab. Da macht es sich positiv bemerkbar, wenn etwa Google diesen Zeitraum beim Chrome-Browser von sechs auf vier Wochen verkürzt.
Project Zero kann bei den meisten Herstellern nur die Zeiträume zwischen der Meldung der Sicherheitslücke und der Veröffentlichung der neuen Version mit dem Fix sehen und erfassen. Bei Open-Source-Software sind genauere Einblicke möglich. Etwa bei den drei Browsern Chrome, Safari und Firefox. Bei ihnen dauerte es zwischen 5,3 bis 16,6 Tage bis ein Patch für eine Sicherheitslücke zur Verfügung stand. Im Schnitt vergingen dann aber nochmal 37,3 Tage, bis die nächste Version des Browsers mit diesem Patch veröffentlicht wurde. Installierst du den Patch nicht selber, wartest du im Schnitt 46,1 Tage, bis die Sicherheitslücke auf deinem Rechner geschlossen ist.
| Von der Meldung bis zum Patch
(Tage / Durchschnitt) | Vom Patch bis zur Veröffentlichung
(Tage / Durchschnitt) | Von der Meldung bis zur Veröffentlichung
(Tage / Durchschnitt) | |
|---|---|---|---|
| Chrome | 5.3 | 24.6 | 29.9 |
| WebKit (Safari) | 11.6 | 61.1 | 72.7 |
| Firefox | 16.6 | 21.1 | 37.8 |
90 Tage Zeit
Project Zero gibt den Entwicklern nach Meldung einer Sicherheitslücke 90 Tage Zeit, diese zu schließen. Auf Antrag ist ein Aufschub um 14 Tage möglich. Spätestens nach 104 Tagen macht Project Zero eine Sicherheitslücke aber öffentlich – egal ob gefixt oder nicht. Das erhöht den Druck auf die Hersteller, eine Lücke zu schließen.
Als Grundschüler saß ich noch mit vielen Mitschülern bei einem Freund im Wohnzimmer, um auf der Super NES zu spielen. Inzwischen bekomme ich die neueste Technik direkt in die Hände und teste sie für euch. In den letzten Jahren bei Curved, Computer Bild und Netzwelt, nun bei Galaxus.de.