Die eigentliche Frage, ob nun Macs oder PCs, Apple-Software oder Microsoft-Lösungen sicherer sind, ist auch nach den Ergebnissen, die drei Forscher der ETH Zürich auf der Black-Hat-Konferenz in Amsterdam vorstellten, weiter ungeklärt. Was allerdings die Dauer vom Bekanntwerden einer Sicherheitslücke bis zum Patch angeht, hat der oft gescholtene Branchenprimus aus Redmond die Nase vorn. Mit ihrer Studie "0-Day Patch Exposing Vendors (In)security Performance" (PDF) belegen Stefan Frei, Bernard Tellenbach und Bernhard Plattner des Computer Engineering and Networks Laboratory (TIK) der ETH Zurich unter anderem, dass Microsoft effizienter bei der Beseitigung von Sicherheitsrisiken ist, als die Truppe von Steve Jobs.

Dazu werteten die drei Forscher die bekannt gewordenen Sicherheitslücken der jeweiligen Softwareprogramme aus den Jahren 2002 bis 2007 aus. Die zugehörigen Patches wurden danach in eine von fünf Klassen, taggleich, 30 Tage, 90 Tage, 180 Tage und ungepatched, eingeordnet. Als Fazit vermelden die drei Eidgenossen: "Unsere Ergebnisse stützen die allgemeine Annahme nicht, dass Apple-Software sicherer als die von Microsoft ist." So weist Apple-Software in der Regel mehr gleichzeitig offene Lücken auf als Microsoft-Produkte. Auch bei der Reaktionszeit schlägt Redmond Cupertino. Während Microsoft regelmässig mehr als 20 Prozent aller Schwachstellen noch am Tag des Bekanntwerdens schliessen konnte, schaffte Apple diese Quote während des untersuchten Zeitraums nur im Jahr 2004.

Das alles sagt wenig über die tatsächliche Bedrohungslage der jeweiligen Systeme aus, wie die Forscher bestätigen. Microsoft-Software ist für Angreifer schon auf Grund des Verbreitungsgrades das lohnendere Ziel und nicht jede Lücke wird auch für Angriffe genutzt. Nicht berücksichtigt werden konnten auch all die Sicherheitslöcher, die nicht bekannt wurden und unter der Hand gehandelt werden. Aber die Daten belegen doch, dass Mac-User sich oftmals einem falschen Sicherheitsgefühl hingeben. Dementsprechend sollten Apple-User, aber auch die in der Untersuchung nicht berücksichtigten Linux-Anhänger, die gleichen Sicherheitsmassnahmen zum Schutz sensibler Daten umsetzen, wie sie für Windows-Nutzer schon lange empfohlen werden. (Thomas Mironiuk)