App­Test — secu­ri­ty­News mit BSI-Schwach­stel­len­am­pel

Hoch­ge­lobt auf man­chen Web­sei­ten — so war ich neu­gie­rig auf die App secu­ri­ty­News mit der BSI-Schwach­stel­len­am­pel und habe mir des­halb die­se kos­ten­lo­se App ein­mal auf mein iPho­ne gela­den. Um es vor­weg­zu­neh­men: Die App scha­det nicht und ist als App sicher. Aber nutzt sie dem Anwen­der?

Die App ist wenig mehr als eine mobi­le Web­sei­te, die die Infor­ma­tio­nen der Web­sei­te Markt­platz IT-Sicher­heit (www​.it​-sicher​heit​.de) des Insti­tuts für Inter­net-Sicher­heit if(is) der West­fä­li­schen Hoch­schu­le Gel­sen­kir­chen anzeigt.

Beim Start der App wird dem Anwen­der die Über­sicht „News /​Updates” ange­zeigt, in dem beim Start alle abon­nier­ba­ren Feeds ange­zeigt wer­den, das Ange­bot reicht zurück bis zum 31.08.12, also ver­mut­lich 3 Mona­te. Hier kann man die vier Berei­che Micro­soft, Linux, Apple und Mobi­le abon­nie­ren. Wenn man auf die News klickt, erhält man einen Aus­zug aus einem ver­link­ten Inter­net-Arti­kel ange­zeigt. Quel­le der Arti­kel ist weit über­wie­gend hei​se​.de, ich habe auch Arti­kel von golem​.de und bue​r​ger​-cert​.de gese­hen.

Für den ange­zeig­ten Zeit­raum wer­den 40 War­nun­gen ange­zeigt, was für eine fried­li­che Welt doch das Inter­net ist, mehr gibt es halt nicht! Wenn solch eine trü­ge­ri­sche Sicher­heit von einer Hoch­schu­le gelie­fert wird, ist dies gefähr­lich. Wenn dies dann aber noch von einem Insti­tut für Inter­net-Sicher­heit bereit­ge­stellt wird, ist es nicht akzep­ta­bel. Mir erschließt sich nicht nach wel­cher Sys­te­ma­tik die Kura­to­ren die­ses Ange­bo­tes die Infor­ma­tio­nen aus­wäh­len, Anga­ben wer­den hier­zu nicht gemacht.

Der Bereich, den man am meis­ten auf einem mobi­len End­ge­rät erwar­tet, ver­nach­läs­sigt die App gera­de­zu sträf­lich — Mobi­le. Wenn man nur den Bereich Mobi­le abon­niert erhält man 32 War­nun­gen ange­zeigt, zurück­ge­hend bis zum 20.12.2010. Da wird einem doch ganz warm ums Herz wie fried­lich es in der Mobi­li­ty zugeht! 32 Sicher­heits­be­dro­hun­gen in knapp 2 Jah­ren — geht doch!

Spä­tes­tens an die­ser Stel­le wird jedem Leser klar sein, dass secu­ri­ty­News ein Ange­bot ist, dass wirk­lich nie­mand braucht. Abon­nie­ren Sie den Secu­ri­ty-Feed von Hei­se, dann sind Sie garan­tiert bes­ser und umfas­sen­der infor­miert.

Gilt die­se Kri­tik auch für die BSI-Schwach­stel­len­am­pel?

Bedingt. In die­sem Bereich wer­den bekann­te offe­ne Schwach­stel­len ver­schie­de­ner Berei­che /​Pro­duk­te mit einem Ampel­sys­tem ange­zeigt. Die Berei­che /​Pro­duk­te sind Ado­be Flash, Ado­be Acro­bat, Ado­be Reader, Linux Ker­nel, Apple Mac OSX, Apple Quick­time, Apple Safa­ri, Goog­le Chro­me, Mozil­la Fire­fox, Mozil­la Thun­der­bird, Ora­cle JRE, Ora­cle JDK, Micro­soft Office, Micro­soft Inter­net Explo­rer, Micro­soft Win­dows.

Wenn man auf einen der Berei­che klickt, erhält man die jewei­li­gen Secu­ri­ty-Bul­le­tins und even­tu­el­le Schwach­stel­len ange­zeigt. Aktu­ell wird nur eine Schwach­stel­le für Safa­ri ange­zeigt, was ich für gefähr­lich hal­te, da in der App jeg­li­cher Hin­weis auf die Basis der Ana­ly­se fehlt. Ohne es im Detail geprüft zu haben — mir erscheint die hier gebo­te­ne „Sicher­heit” sehr trü­ge­risch. Ich gehe davon aus, dass die Aus­sa­gen auf der jeweils aktu­ells­ten Ver­si­on basie­ren, was aber bei Fire­fox bei­spiels­wei­se auf­grund der unter­schied­li­chen Pro­dukt­ka­nä­le so ein­deu­tig gar nicht gesagt wer­den kann.

Für den Bereich Mobi­le bringt die Schwach­stel­len­am­pel kei­ne Auf­klä­rung, anschei­nend ist die­ser der­zeit noch nicht imple­men­tiert. Inso­fern ist die Schwach­stel­len­am­pel gera­de für mobi­le Nut­zer kei­ne Hil­fe und für die Nut­zung von Mobi­li­ty sinn­los.

Ich hal­te es für frag­wür­dig, dass das BSI die­ses mit „grenz­wer­tig” noch freund­lich bezeich­ne­te Ange­bot durch die Zusam­men­ar­beit im all­ge­mei­nen und die Inte­gra­ti­on der Schwach­stel­len­am­pel im beson­de­ren auf­wer­tet und damit qua­si öffent­lich zer­ti­fi­ziert. Der uner­fah­re­ne Nut­zer, der die­se App gut­gläu­big und ohne Hin­ter­grund­wis­sen nutzt kann trotz Nut­zung die­ser App in sehr gefähr­li­che Sicher­heits­fal­len stol­pern — obwohl er glaubt sich geschützt zu haben. Das BSI soll­te mei­ner Ansicht nach die Zusam­men­ar­beit über­den­ken, im der­zei­ti­gen Zustand pas­sen BSI und secu­ri­ty­News eher schlecht zusam­men.

Denn es gibt gera­de für die Mobi­li­ty ein bes­se­res Ange­bot, Clue­ful von Bit­de­fen­der, wir berich­te­ten im Bei­trag App­Tipp: Clue­ful von Bit­de­fen­der ist wie­der da — Apple’s Zen­sur läuft ins Lee­re dar­über.

Wenn Sie ande­re Fra­gen zu mobi­ler Sicher­heit haben, fra­gen Sie uns bit­te. Wir haben die Ant­wort — Garan­tiert! Emp­feh­len Sie die­sen Arti­kel auf Twit­ter, Face­book oder Goog­le wei­ter, wenn Sie mei­nen, dass auch Ihre Freun­de und Bekann­ten die­se Infor­ma­tio­nen haben soll­ten. Und beant­wor­ten Sie bit­te unse­re drei Fra­gen am Ende des Arti­kels. Vie­len Dank!


Ande­re inter­es­san­te Bei­trä­ge:
Gart­ner ver­öf­fent­licht Mobi­le Device Manage­ment Report 2012 mit Magic Qua­drant — Eine kri­ti­sche Sicht
Am Frei­tag war es wie­der so weit. Gart­ner ver­öf­fent­lich­te sei­ne Mei­nung zum The­ma Mobi­le Device Manage­ment und das Inter­net ist vol­ler Infor­ma­tio­nen zum neu­en Magic Qua­drant für Mobi­le Device Manage­ment. Die meis­ten der Autoren dürf­ten den Gart­ner-Report nicht gele­sen haben, es wird ein­fach dumpf de…
MDM-Essen­ti­als — Mobi­le Device Manage­ment (MDM) und App-Sicher­heit
Täg­lich errei­chen uns Anfra­gen zur Sicher­heit von Apps auf mobi­len End­ge­rä­ten, was zeigt, dass das The­ma die Köp­fe der Anwen­der erreicht hat. Das ist gut so. Im Kern han­delt es sich bei der Durch­set­zung siche­rer Apps auf den Gerä­ten der Anwen­der um kein schwie­ri­ges The­ma, denn die­se Auf­ga­be ist per …
datomo Mobi­le Device Manage­ment (MDM) 3.8.2 — Ver­bes­se­run­gen beim Aus­rol­len von Zer­ti­fi­ka­ten und für Andro­id-Gerä­te
Seit Frei­tag ist das neue Release von datomo Mobi­le Device Manage­ment ver­öf­fent­licht — es ist die Ver­si­on 3.8.2. Fol­gen­de neue Funk­tio­nen wur­den imple­men­tiert: Inte­gra­ti­on des neu­en Goog­le Cloud Messa­ging Ser­vice (GCM) anstel­le von Andro­id Cloud 2 Device Messa­ging (C2DM). C2DM wird für bestehe…
Neue Reli­gi­on Bring Your Own Device (BYOD) — jetzt fehlt nur noch die Bild-Zei­tung mit Volks-BYOD!
Der Hype um Bring Your Own Device (BYOD) kennt kei­ne Gren­zen und deut­sche Web­sei­ten sind sich nicht zu scha­de, den BYOD-Blöd­sinn unre­flek­tiert wei­ter zu ver­brei­ten. Eines der vie­len Bei­spie­le für einen sol­chen Arti­kel fiel mir gera­de bei IT​-Busi​ness​.de auf: Mehr als nur „Bring Your Own Device“ Auc…
Bring Your Own Device (BYOD) zur Mit­ar­bei­ter­mo­ti­va­ti­on — Jetzt kommt der Weih­nachts­mann am 24. Juni!
In den letz­ten Wochen ver­la­gert sich die Dis­kus­si­on zum The­ma Bring Your Own Device (BYOD) zuneh­mend auf wei­che Fak­to­ren — har­te Fak­ten für das Kon­zept kann ja kei­ner der Befür­wor­ter auch nur in Ansät­zen lie­fern, da BYOD weder zu Kos­ten­er­spar­nis­sen noch zu Arbeits­er­leich­te­run­gen führt — IBM hat das …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.