App­Test — secu­ri­ty­News mit BSI-Schwach­stel­len­am­pel

Hoch­ge­lobt auf man­chen Web­sei­ten — so war ich neu­gie­rig auf die App secu­ri­ty­News mit der BSI-Schwach­stel­len­am­pel und habe mir des­halb die­se kos­ten­lo­se App ein­mal auf mein iPho­ne gela­den. Um es vor­weg­zu­neh­men: Die App scha­det nicht und ist als App sicher. Aber nutzt sie dem Anwen­der?

Die App ist wenig mehr als eine mobi­le Web­sei­te, die die Infor­ma­tio­nen der Web­sei­te Markt­platz IT-Sicher­heit (www​.it​-sicher​heit​.de) des Insti­tuts für Inter­net-Sicher­heit if(is) der West­fä­li­schen Hoch­schu­le Gel­sen­kir­chen anzeigt.

Beim Start der App wird dem Anwen­der die Über­sicht „News /​Updates” ange­zeigt, in dem beim Start alle abon­nier­ba­ren Feeds ange­zeigt wer­den, das Ange­bot reicht zurück bis zum 31.08.12, also ver­mut­lich 3 Mona­te. Hier kann man die vier Berei­che Micro­soft, Linux, Apple und Mobi­le abon­nie­ren. Wenn man auf die News klickt, erhält man einen Aus­zug aus einem ver­link­ten Inter­net-Arti­kel ange­zeigt. Quel­le der Arti­kel ist weit über­wie­gend hei​se​.de, ich habe auch Arti­kel von golem​.de und bue​r​ger​-cert​.de gese­hen.

Für den ange­zeig­ten Zeit­raum wer­den 40 War­nun­gen ange­zeigt, was für eine fried­li­che Welt doch das Inter­net ist, mehr gibt es halt nicht! Wenn solch eine trü­ge­ri­sche Sicher­heit von einer Hoch­schu­le gelie­fert wird, ist dies gefähr­lich. Wenn dies dann aber noch von einem Insti­tut für Inter­net-Sicher­heit bereit­ge­stellt wird, ist es nicht akzep­ta­bel. Mir erschließt sich nicht nach wel­cher Sys­te­ma­tik die Kura­to­ren die­ses Ange­bo­tes die Infor­ma­tio­nen aus­wäh­len, Anga­ben wer­den hier­zu nicht gemacht.

Der Bereich, den man am meis­ten auf einem mobi­len End­ge­rät erwar­tet, ver­nach­läs­sigt die App gera­de­zu sträf­lich — Mobi­le. Wenn man nur den Bereich Mobi­le abon­niert erhält man 32 War­nun­gen ange­zeigt, zurück­ge­hend bis zum 20.12.2010. Da wird einem doch ganz warm ums Herz wie fried­lich es in der Mobi­li­ty zugeht! 32 Sicher­heits­be­dro­hun­gen in knapp 2 Jah­ren — geht doch!

Spä­tes­tens an die­ser Stel­le wird jedem Leser klar sein, dass secu­ri­ty­News ein Ange­bot ist, dass wirk­lich nie­mand braucht. Abon­nie­ren Sie den Secu­ri­ty-Feed von Hei­se, dann sind Sie garan­tiert bes­ser und umfas­sen­der infor­miert.

Gilt die­se Kri­tik auch für die BSI-Schwach­stel­len­am­pel?

Bedingt. In die­sem Bereich wer­den bekann­te offe­ne Schwach­stel­len ver­schie­de­ner Berei­che /​Pro­duk­te mit einem Ampel­sys­tem ange­zeigt. Die Berei­che /​Pro­duk­te sind Ado­be Flash, Ado­be Acro­bat, Ado­be Reader, Linux Ker­nel, Apple Mac OSX, Apple Quick­time, Apple Safa­ri, Goog­le Chro­me, Mozil­la Fire­fox, Mozil­la Thun­der­bird, Ora­cle JRE, Ora­cle JDK, Micro­soft Office, Micro­soft Inter­net Explo­rer, Micro­soft Win­dows.

Wenn man auf einen der Berei­che klickt, erhält man die jewei­li­gen Secu­ri­ty-Bul­le­tins und even­tu­el­le Schwach­stel­len ange­zeigt. Aktu­ell wird nur eine Schwach­stel­le für Safa­ri ange­zeigt, was ich für gefähr­lich hal­te, da in der App jeg­li­cher Hin­weis auf die Basis der Ana­ly­se fehlt. Ohne es im Detail geprüft zu haben — mir erscheint die hier gebo­te­ne „Sicher­heit” sehr trü­ge­risch. Ich gehe davon aus, dass die Aus­sa­gen auf der jeweils aktu­ells­ten Ver­si­on basie­ren, was aber bei Fire­fox bei­spiels­wei­se auf­grund der unter­schied­li­chen Pro­dukt­ka­nä­le so ein­deu­tig gar nicht gesagt wer­den kann.

Für den Bereich Mobi­le bringt die Schwach­stel­len­am­pel kei­ne Auf­klä­rung, anschei­nend ist die­ser der­zeit noch nicht imple­men­tiert. Inso­fern ist die Schwach­stel­len­am­pel gera­de für mobi­le Nut­zer kei­ne Hil­fe und für die Nut­zung von Mobi­li­ty sinn­los.

Ich hal­te es für frag­wür­dig, dass das BSI die­ses mit „grenz­wer­tig” noch freund­lich bezeich­ne­te Ange­bot durch die Zusam­men­ar­beit im all­ge­mei­nen und die Inte­gra­ti­on der Schwach­stel­len­am­pel im beson­de­ren auf­wer­tet und damit qua­si öffent­lich zer­ti­fi­ziert. Der uner­fah­re­ne Nut­zer, der die­se App gut­gläu­big und ohne Hin­ter­grund­wis­sen nutzt kann trotz Nut­zung die­ser App in sehr gefähr­li­che Sicher­heits­fal­len stol­pern — obwohl er glaubt sich geschützt zu haben. Das BSI soll­te mei­ner Ansicht nach die Zusam­men­ar­beit über­den­ken, im der­zei­ti­gen Zustand pas­sen BSI und secu­ri­ty­News eher schlecht zusam­men.

Denn es gibt gera­de für die Mobi­li­ty ein bes­se­res Ange­bot, Clue­ful von Bit­de­fen­der, wir berich­te­ten im Bei­trag App­Tipp: Clue­ful von Bit­de­fen­der ist wie­der da — Apple’s Zen­sur läuft ins Lee­re dar­über.

Wenn Sie ande­re Fra­gen zu mobi­ler Sicher­heit haben, fra­gen Sie uns bit­te. Wir haben die Ant­wort — Garan­tiert! Emp­feh­len Sie die­sen Arti­kel auf Twit­ter, Face­book oder Goog­le wei­ter, wenn Sie mei­nen, dass auch Ihre Freun­de und Bekann­ten die­se Infor­ma­tio­nen haben soll­ten. Und beant­wor­ten Sie bit­te unse­re drei Fra­gen am Ende des Arti­kels. Vie­len Dank!


Ande­re inter­es­san­te Bei­trä­ge:
datomo Mobi­le Device Manage­ment (MDM) 3.10.1 – Unter­stüt­zung für iOS 6.1 und mehr
Das neue Jahr war erst 11 Tage alt als wir ges­tern die neue Ver­si­on von datomo Mobi­le Device Manage­ment (MDM) 3.10.1 ver­öf­fent­lich­ten. Wir hal­ten wei­ter­hin die hohe Update-Geschwin­dig­keit der füh­ren­den MDM-Lösung auf­recht, damit unse­re Anwen­der stets sicher sein kön­nen, dass die Lösung auch wei­terhi…
MDM Essen­ti­als — Mobi­le Device Manage­ment tes­ten und ver­glei­chen: Jail­b­reak- und Roo­ting-Erken­nung
Ges­tern hat­te einer unse­rer Con­sul­tants ein inter­es­san­tes Erleb­nis. Er führ­te einem Inter­es­sen­ten datomo Mobi­le Device Manage­ment vor, spe­zi­ell unter Berück­sich­ti­gung von iPho­ne und iPad. Unser Con­sul­tant woll­te dem Inter­es­sen­ten das Aus­rol­len von datomo MDM auf sei­ne Gerä­te zei­gen, da mein­te der In…
Mobi­le Device Manage­ment – Über­sicht über unse­re aktu­el­len White­pa­per und Han­douts zum The­ma MDM
Bei Pre­tio­so haben wir den Fokus, unse­re White­pa­per und Pro­dukt­in­for­ma­tio­nen zum The­ma datomo Mobi­le Device Manage­ment lau­fend zu aktua­li­sie­ren. Weil wir nah am Markt sind, unse­re Lösung sich durch extrem kur­ze Inno­va­ti­ons­zy­klen aus­zeich­net und wir nicht nur mit unse­rer MDM-Lösung son­dern auch mit d…
Mobi­le Device Manage­ment (MDM) im Kran­ken­haus und Gesund­heits­we­sen
Aus unse­rem All­tag wis­sen wir, dass das The­ma Mobi­le Device Manage­ment (MDM) zuneh­men­de Bedeu­tung im Gesund­heits­we­sen gewinnt. Unse­re Anwen­der­ba­sis von datomo Mobi­le Device Manage­ment in die­sem Sek­tor ist in den letz­ten Mona­ten stark gewach­sen, denn in kaum einem ande­ren Bereich des Lebens hat Daten…
MDM Essen­ti­als — So sieht Man­dan­ten­ver­wal­tung für Mobi­le Device Manage­ment aus
In den letz­ten Wochen haben mich meh­re­re Leser gebe­ten genau­er auf das The­ma Man­dan­ten­ver­wal­tung bei Mobi­le Device Manage­ment ein­zu­ge­hen. Nach­dem ich vor zwei Tagen auf die grund­sätz­li­chen Aspek­te im Bei­trag MDM Essen­ti­als – War­um Mobi­le Device Manage­ment für vie­le Anwen­der man­dan­ten­fä­hig sein muss …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.