Ist es dumm, Sicherheitslücken zu zählen?

Am 28. Februar schrieb ich in diesem Blog: „In der Statistik für das Jahr 2014 zeigt nicht etwa Windows die meisten Sicherheitslücken, sondern Apples Betriebssystem Mac OS X.“ Aber ist es überhaupt sinnvoll, Sicherheitslücken zu zählen? Der Kollege Justin Schuh bestreitet das, und er hat Recht.

Dabei ist es so verführerisch: Zahlen wirken so schön objektiv! Wer die meisten Lücken hat, hat verloren, fertig ist die Evaluation. Sie ahnen schon, so einfach kann es nicht sein. Bei näherer Betrachtung zeigt sich nämlich, dass die Anzahl veröffentlichter Sicherheitslücken alles andere als ein sinnvolles Maß für die Qualität eines IT-Produktes ist. Wenn zu einem Produkt keine Sicherheitslücken bekannt werden, dann heißt das keineswegs, dass das Produkt sicher ist. Viel wahrscheinlicher ist es, dass sich einfach niemand um die Sicherheit dieses Produktes kümmert – und das wäre erst recht beunruhigend.

Wer öfter mit Sicherheitsmeldungen zu tun hat, weiß zudem, dass es große Unterschiede gibt, welche Informationen diese Meldungen enthalten, wie sie zustande kommen und wie die Hersteller mit den Sicherheitslücken umgehen. Letzteres ist aus Sicht der IT-Sicherheit das wichtigste Kriterium. Ein Hersteller, der seinen Kunden mit Rat und Tat zur Seite steht, der sofort provisorische Workarounds bereitstellt und dann die Lücke so schnell wie möglich fixt, bietet größere Sicherheit als einer, der versucht, Sicherheitslücken möglichst lange geheim zu halten.

Also: Welchen Stellenwert haben Statistiken über Sicherheitslücken wirklich? Ich finde, man kann solche Zahlen durchaus zum Anlass nehmen, genauer hinzuschauen. Aber das muss man eben auch tun: genau hinschauen. Eine valide Aussage über die Sicherheit von IT-Produkten bietet so eine Statistik alleine nämlich nicht.