Handelsblatt

MenüZurück
Wird geladen.

12.05.2016

15:11 Uhr

Flash vor dem Ende?

Chronik eines angekündigten Verlöschens

VonChristof Kerkmann

Bitte schnell das Update einspielen: Der Flash Player macht wieder mit Sicherheitsproblemen auf sich aufmerksam. Dabei könnten die meisten Nutzer auf die Multimediasoftware verzichten – und würden wenig vermissen.

Flash dient häufig als Einfallstor für Cyberkriminelle - besser, Nutzer verzichten auf die Software. dpa

Mit dem Laptop ins Internet

Flash dient häufig als Einfallstor für Cyberkriminelle - besser, Nutzer verzichten auf die Software.

DüsseldorfEs ist nur eine kurze Mitteilung – doch sie bringt das Versagen mit wenigen Zeilen auf den Punkt. Adobe lässt auf der eigenen Website wissen, dass die Multimediasoftware Flash Player eine kritische Sicherheitslücke enthält, über die Angreifer die Kontrolle über die Systeme erlangen könnten. Ein Update werde frühestens am heutigen Donnerstag angeboten. Bis dahin sind die Computer ungeschützt.

Flash mal wieder. Die Technologie gilt schon seit Jahren als Sicherheitsrisiko. In immer kürzeren Abständen fordern Experten ihr Ende, trotzdem läuft sie noch auf Millionen von Rechnern. Es gibt längst Alternativen, aber die Umstellung braucht Zeit. Nutzer können Flash jedoch verbannen, ohne große Einschränkungen befürchten zu müssen – und sie sollten es auch tun.

Flash ist äußerst beliebt. Leider nicht nur unter den Millionen Nutzern, die das Programm auf ihrem PC verwenden, um Multimediainhalte wiederzugeben, sondern auch unter Cyberkriminellen. Sie nutzen die vielen Schwächen regelmäßig aus, um Opfern schädliche Software unterzujubeln. Die beliebtesten digitalen Einbruchswerkzeuge, Exploit Kits genannt, zielen besonders häufig auf die Multimediasoftware, wie eine Analyse des IT-Sicherheitsspezialisten F-Secure ergab. Und ein Unternehmen, das im umstrittenen Handel mit Sicherheitslücken aktiv ist, bietet Hackern für ihr Wissen bis zu 100.000 Dollar, wie Heise Online am Jahresanfang berichtete.

Wie die Hacker zum Ziel kommen

Eine einzige Schwachstelle reicht

Wenn kriminelle Angreifer in ein Computersystem eindringen wollen, haben sie einen Vorteil: Sie müssen womöglich nur eine einzige Schwachstelle finden, um einen Rechner zu kompromittieren. Einige ausgewählte Angriffsmethoden.

Verspätetes Update

Es gibt praktisch keine fehlerlose Software – wenn Sicherheitslücken entdeckt werden, sollte sie der Hersteller mit einem Update schließen. Viele Firmen lassen sich jedoch Zeit, diese zu installieren und öffnen Angreifern somit Tür und Tor.

Angriff auf die Neugier

Der Mensch ist neugierig - das machen sich kriminelle Hacker zunutze: Sie verfassen fingierte E-Mails, die wichtige Dokumente oder ein lustiges Video versprechen, aber nebenbei die Zugangsdaten eines Mitarbeiters stehlen. Phishing wird diese Methode genannt.

Gutgläubigkeit als Einfallstor

„Hier ist die IT-Abteilung. Wir brauchen mal Ihr Passwort“: Nicht selten gelangen Angreifer mit einem dreisten Anruf an die Zugangsdaten eines Mitarbeiters. Wer gutgläubig ist, fällt auf diese Masche rein – obwohl die IT-Fachleute aus dem eigenen Haus nie so eine Frage stellen würden.

Ein Passwort, das nicht sicher ist

Ob Router oder Drucker: Viele Geräte werden mit einem Standardpasswort ausgeliefert. Wenn die IT-Abteilung es nicht verändert, haben Angreifer leichtes Spiel. „Die Handbücher mit dem Passwort stehen oft im Internet“, sagt Joachim Müller, Chef für IT-Sicherheit beim Dienstleister Ceyoniq Consulting.

Ein schwaches Glied

Angreifer suchen das schwächste Glied in der Kette, häufig alte Systeme. Zudem kennen professionelle Angreifer – neben Kriminellen auch Geheimdienste – oft Sicherheitslücken, die den Herstellern der Software noch nicht bekannt sind. Gegen solche Zero-Day-Exploits kann man sich kaum schützen.

Dass Flash so häufig als Einfallstor dient, hat mit der großen Verbreitung der Technologie zu tun: Sie ist auf fast jeden PC installiert. Zudem erlaubt sie den Cyberkriminellen, Schutzmechanismen wie Firewalls zu umgehen. Sie erlaubt sogar einen Angriff ohne Zutun des Nutzers: Im schlechtesten Fall führt schon der Besuch einer präparierten Website zur Infektion des Computers. Nicht zuletzt handelt es sich um Software, in der Hacker leicht Schwachstellen finden, wie F-Secure betont.

Wolfgang Voos hat aus diesem Schlamassel längst Konsequenzen gezogen. Er ist technischer Geschäftsführer der Firma Max IT, die Telefondienste in der Cloud anbietet. Privat verzichtet er schon länger auf Flash, in der Technikabteilung, die ihm untersteht, stoppte er den Einsatz ebenfalls. „Auch in der Beratung von Kunden raten wir eigentlich immer von Flash ab“, berichtet der Leser des Handelsblatt Morning Briefings.

Der wichtigste Beweggrund sei die Abwägung zwischen Kosten und Risiko: Den Flash Player immer aktuell zu halten, ist aufwendig – und trotz aller Updates gibt es immer wieder Sicherheitslücken, die die Systeme der Firma gefährden. Was Voos als Argumentationshilfe dient: Auch Hersteller Adobe sieht die Technologie inzwischen als Auslaufmodell.

Große Einschränkungen muss Voos nicht hinnehmen. Seine Beobachtung: Dass eine Website ohne Flash Player gar nicht funktioniert, ist selten. Es kann höchstens sein, dass bestimmte Bestandteile nicht nutzbar sind, etwa Videos. Wenn er einen Inhalt unbedingt sehen will, startet er den Browser Chrome, mit dem sich die Multimedia-Software aktivieren last. Das sei aber mühsam – „und genau das ist von mir gewollt“.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×