10. August 2015 - Sicherheitslücken

Risikoanalyse: Mit der Schwachstelle Flash richtig umgehen

Sicherheitsexperten haben in den letzten Wochen dazu geraten, Adobe Flash aufgrund seiner Schwachstellen vollständig zu blockieren und am besten ganz darauf zu verzichten. Wer diesem Rat folgt, muss allerdings Einiges beachten.

Flash aufgrund seiner Schwachstellen komplett deinstallieren? Adobe Flash hat viele Schwachstellen - aber bei Weitem nicht die meisten (Bild: nicomenijes / iStock / Thinkstock)

Wenn die IT in Ihrem Unternehmen weder technische noch organisatorische Schwachstellen hätte, würde es keinem Angreifer gelingen, Daten zu stehlen und zu missbrauchen. Nur gibt es keine IT ohne Schwachstellen. Basis jeder Abwehr von Angriffen muss deshalb die Suche und Behebung von Schwachstellen sein.

Wenn sich Schwachstellen häufen

Kein Unternehmen kommt also ohne Schwachstellen-Management oder Patch-Management aus. Doch einige Anwendungen machen besonders viel Arbeit bei der Schwachstellenbehebung:

  • Sie haben besonders viele Schwachstellen.
  • Oder es gibt kaum oder erst sehr spät Fehlerbehebungen.

So hat Adobe Flash bzw. der Flash-Player in den letzten Wochen mit Schwachstellen besonders häufig von sich reden gemacht. Dabei waren die Sicherheitslücken kritisch, und eine Behebung war nicht direkt verfügbar. Von verschiedenen Sicherheitsexperten war deshalb zu hören, dass man besser ganz auf Flash verzichten sollte.

Flash als Datenrisiko

Tatsächlich sind in der letzten Zeit mehrere Angriffe bekannt geworden, die Sicherheitslücken in Flash ausgenutzt haben. Ist eine Fehlerhebung nicht verfügbar, macht deshalb zumindest ein Verzicht auf Flash Sinn, bis die notwendigen Patches bereitstehen. Um den Flash-Risiken dauerhaft aus dem Weg zu gehen, scheint der Rat verschiedener IT-Sicherheitsforscher, auf Flash ganz zu verzichten, sehr sinnvoll. Allerdings muss man den Verzicht dann auch durchgehend und vollständig durchführen, und man darf sich nicht zu viel davon versprechen.

Als Datenschutzbeauftragte oder Datenschutzbeauftragter sollten Sie das in den Medien diskutierte Thema Flash-Verzicht aufgreifen. Geben Sie z.B. in Ihrer Mitarbeiterschulung Tipps, wie man Adobe Flash abschaltet, aber auch, welche tatsächlichen Vorteile sich für den Datenschutz ergeben. Andernfalls wiegen sich die betreffenden Nutzer nur in Scheinsicherheit.

Flash gibt es nicht nur im Browser

Zum einen ist wichtig zu wissen, dass Flash-Elemente nicht nur in Webbrowsern zum Einsatz kommen:

  • Es gibt auch Anwendungen im Bereich Media-Player, die Flash nutzen.
  • Es gibt Schulungs-Software, die Flash nutzt.
  • Im privaten Bereich sind Computerspiele anzutreffen, die auf Adobe Flash setzen.
  • Nicht zuletzt können Flash-Elemente in Office-Dokumenten enthalten sein, wie zum Beispiel in Präsentationen oder in Dokumenten.

Adobe Flash deinstallieren

Wie lässt sich nun ein Verzicht auf Flash umsetzen?

  • Zunächst ganz schlicht durch Deinstallation über die Systemeinstellungen des Rechners.
  • Dann muss daran gedacht werden, dass mehrere der genutzten Browser-Typen eine Flash-Erweiterung besitzen können.
  • Die Verbreitung von Adobe Flash ist zwar bei PCs höher als bei mobilen Endgeräten. Doch auch bei verschiedenen Smartphones und Tablets kann Flash im Einsatz sein. Während die Flash-Verbreitung bei PCs 99 Prozent beträgt, liegt sie 2015 bei Smartphones immerhin schon bei über 80 Prozent.

Flash hat gar nicht die meisten Schwachstellen …

Einen weiteren Punkt sollten Sie bedenken und im Unternehmen kommunizieren: Der Cisco 2015 Midyear Security Report berichtet zwar, dass laut dem Common Vulnerabilities and Exposure (CVE) System in der ersten Jahreshälfte 2015 bereits 66 Prozent mehr Flash-Lücken entdeckt wurden als im Gesamtjahr 2014. Betrachtet man aber die Gesamtheit der Schwachstellen, zeigt sich ein differenziertes Bild:

  • Laut dem Secunia Vulnerability Review 2015 wurden in 2014 in 3.870 Anwendungen von 500 Anbietern insgesamt 15.435 Schwachstellen registriert.
  • Im Vergleich zum Vorjahr ist die Zahl der Sicherheitslücken damit um 18 Prozent gestiegen.
  • Es ist aber nicht Adobe Flash, das die meisten entdeckten Schwachstellen aufweist.
  • Der Vergleich von Secunia zeigt, dass es bei Google Chrome 504, bei Microsoft Internet Explorer 289, bei Mozilla Firefox 171, bei Java 119 und bei Flash 99 aufgedeckte Sicherheitslücken waren.

Mit dem Verzicht auf Adobe Flash kann man also bei Weitem nicht allen Gefahren durch Sicherheitslücken in Software entgehen. Auch wer auf Flash verzichtet, muss sich über das Thema Schwachstellen-Management zwingend weiterhin Gedanken machen. Selbst wenn über die Schwachstellen in anderen Produkten nicht so viel berichtet wird wie über die Flash-Risiken: Es gibt noch viele andere Software-Lösungen, die sehr häufig Fehlerhebungen benötigen.

Sorgen Sie deshalb für Aufklärung in Ihrer Datenschutz-Unterweisung. Die Checkliste hilft Ihnen dabei.


Download:


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker (Universität Bonn), Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln