Tagtäglich veröffentlichte Sicherheitslücken in Software bekräftigen: Ohne regelmäßige Installation verfügbarer Updates bieten unsere digitalen Geräte vermeidbare Angriffsflächen. Update-Disziplin ist ein wirksames Mittel zur Cyber-Resistenz.
Softwareupdates können lästig sein. Update-Benachrichtigungen, -Downloads, -Installationen und teilweise Neustarts. Das alles hält uns von Arbeit und Vergnügen ab. Und ganz blöd ist es, wenn Apps nach einem Update nicht mehr so sind, wie sie vorher waren. Neues Design, neue Funktionen, fehlende Funktionen, die App ist langsamer und so weiter. Softwareupdates können bei uns den Frustlevel schnell steigen lassen. Vermutlich gehören sie zu den meistgehassten Artifakten des digitalen Lebens (wahrscheinlich sind nur Passwörter unbeliebter). Das ist sehr bedauerlich, denn Softwareupdates beheben oft auch kritische Schwachstellen, die sicher keiner bieten will. Das Aufschieben von Sicherheitsupdates (engl. security patch) ist somit keine empfehlenswerte und nachhaltige Option. An zwei Beispielen aus dem Frühjahr 2019 wird deutlich, warum.
Beispiel 1: Die WhatsApp-Unsicherheit
Im Mai 2019 hat Facebook WhatsApp-Updates für Android und iOS zur Behebung einer kritischen Schwachstelle bereitgestellt. Diese Schwachstelle ermöglicht es Angreifern, über speziell preparierte WhatsApp-Anrufe beliebige Schadsoftware auf dem Opfer-Smartphone auszuführen. Hierzu muss das Opfer den Anruf nicht einmal entgegennehmen. Die Ausnutzbarkeit dieser Schwachstelle wurde in der Praxis auch schon nachgewiesen. Auf dem Smartphone eines britischen Menschenrechts-Anwalts wurde Spionagesoftware installiert. Die Schadsoftware ist auch in der Lage, das Anrufprotokoll zu löschen, um keine offensichtlichen Spuren zu hinterlassen. Es gibt aktuell keinen Grund zur Annahme einer massenweisen Ausnutzung der Schwachstelle. Jedoch erhöht sich die Wahrscheinlichkeit eher von Tag zu Tag, als dass sie sinken würde.
Beispiel 2: Das erneute Wurm-Potential von Windows
Eine Schwachstelle in Windows-Versionen bis 7 kann ebenfalls ausgenutzt werden, um einen Rechner zu kompromittieren, ohne dass das Opfer aktiv sein muss, wie zum Beispiel durch Klicken auf einen schadhaften Link in einer Phishing-Mail. Microsoft nennt diese Schwachstelle daher “wurmfähig”, d.h., eine Infektion mit entsprechender Schadsoftware erfolgt quasi automatisch. Ein relativ aktueller und prominenter Wurm dieser Art ist “WannaCry“, der 2017 weltweit für Furore sorgte. Windows 8 und 10 sind laut Microsoft nicht betroffen. Aus großer Sorge vor einer erneuten globalen Invasion hat Microsoft sogar Patches für Windows XP bereitgestellt, obwohl dieses offiziell seit einigen Jahren nicht mehr von Microsoft unterstützt wird.
So kritisch sie auch sind, diese zwei Fälle sind bei weitem nicht exklusiv. Ich könnte hier beliebig weitere Beispiele auflisten, aber das tut nichts zur Sache. Immer geht es dabei um Schwachstellen in Software, die für beliebige schädliche Aktivitäten ausgenutzt werden können. Und fast immer ist deine einzige Schutzmöglichkeit die zeitnahe Installation von Sicherheitsupdates, die diese Schwachstellen beheben sollen.
Update-Installation ist wie Müll-Rausbringen
Es gibt im Leben so einige lästige, aber dennoch unvermeidliche Aktivitäten wie das Rausbringen des Mülls. Jede Abfalltonne, sei sie noch so groß, hat eine begrenzte Kapazität. Ob nach zwei, fünf oder sieben Tagen, irgendwann muss der Müll raus aus dem Haus. Schiebt man das auf, sind Gestank, Chaos, Fliegen, Käfer, etc. die Folge. Dagegen hilft nur eiserne Müll-Entsorgungs-Disziplin. Ähnlich verhält es sich mit der Installation von (Sicherheits-)Updates. Wenn eines verfügbar ist (=die Mülltonne ist voll), muss man sie nicht gleich installieren (=Müll entsorgen). Aber nach einer, fünf, zehn oder zwanzig Wochen kann es passieren: Eine nicht geschlossene Sicherheitslücke wird ausgenutzt und der Mief deines nicht gepatchten Geräts zieht Angreifer (=Fliegen, Käfer) an. Das Schadenspotential ist dabei beliebig niedrig oder hoch. Ob also nun die Entsorgung des Mülls oder das “Frischhalten” des Computers: Es geht um Hygiene!
Allgemeine Tipps für die Update-Disziplin
So lästig Updates auch sein können, hat sich in den letzten Jahren einiges getan, was die Minimierung des Belästigungsgrads angeht. App- oder Webbrowser-Updates laufen einfach im Hintergrund, ohne dass die Nutzbarkeit des Geräts wirklich darunter leidet (live oder silent updates). Aber ganz minimalinvasiv läuft das alles aber leider noch nicht. Was du auf keinen Fall tun solltest, ist das Ausschalten jeglicher Update-Funktionen mit der Absicht, störende Benachrichtungen und Unterbrechungen zu vermeiden. So wird deine Maschine zu Freiwild für Infektionen und Angreifer. Hier meine grundsätzlichen Tipps zur Update-Disziplin:
- Lege für dich Momente oder Zeitfenster fest, in denen du die Updates installieren möchtest (bspw. nachts, bei einer “Pause vom Rechner”, beim Kochen oder beim Müll-Rausbringen)
- Aktiviere überall, wo möglich die automatische Suche nach Updates (z.B. Betriebssystem, Webbrowser, App Store)
- Aktiviere wo möglich das automatische Herunterladen von Updates (ggf. “nur im WLAN”)
- Nutze die Möglichkeit, Updates mit Zeitplanung zu installieren, um deine idealen Zeitfenster zu wählen (siehe oben)
- Wenn verfügbar, nutze die Möglichkeit, Updates im Stand-by-Betrieb zu installieren (bitte aber auch aus ökologischer Perspektive betrachten! Stichwort “Stromfresser”)
Dass es überhaupt zu Schwachstellen in Software kommen kann, ist ein ganz anderes und kompliziertes Thema. Fakt ist, dass sie existieren und das zeitnahe Schließen von Sicherheitslücken zu den Grundpfeilern deiner Resistenz gegen Cyberbedrohungen gehört. Biete keine vermeidbaren Angriffsflächen, indem du verfügbare Updates für Smartphone, Laptop, Tablet, Router, etc. regelmäßig und zeitnah installierst!
