Sicherheit Software

Weg mit Flash: Der Flash Player ist ein Sicherheitsrisiko

Adobe Flash Player
geschrieben von Markus Werner

Der Flash Player ist auf fast jedem Computer installiert und stellt ein Sicherheitsrisiko dar. Ständig tauchen neue Sicherheitslücken auf, die immer öfter von Exploit-Kits missbraucht werden. Dabei sterben Flash-Inhalte im Web allmählich aus. YouTube & Co. setzen bereits auf neue Webtechnologien – aber noch längst nicht alle. Wir müssen Flash endlich den Kampf ansagen.

Die Sicherheitsforscher von F-Secure haben kürzlich die beliebtesten Exploit-Kits von 2015 untersucht. Sie wollten wissen, welche Schwachstellen die Kits am häufigsten ausnutzen. Die Liste der Top 15 Sicherheitslücken zeigt, dass 13 Lücken auf das Konto des Flash Players gehen. Recorded Future kommt zu einem ähnlichen Ergebnis. Unter den Top 10 Sicherheitslücken, die Exploit-Kits missbrauchen, zielen acht auf den Flash Player ab. Die Ergebnisse von F-Secure und Recorded Future bestätigen meine Vermutung, die ich schon seit längerem habe – der Flash Player ist ein riesiges Sicherheitsloch. Ähnlich gefährlich wie Java.

Ein Blick in die CVE-Datenbank (Common Vulnerabilities and Exposures) zeigt, seit 2005 wurden 746 Lücken entdeckt, davon 635 kritische. Alleine im vergangen Jahr gingen sage und schreibe 313 Meldungen ein. Die meisten Sicherheitslücken waren kritisch und zugleich erreichte der Flash Player damit einen neuen Rekordwert. In den Vorjahren lag der Wert im Schnitt bei ca. 60 bis 70 Meldungen. 2015 gab es kaum einen Patchday, an dem keine kritischen Lücken geschlossen wurden. Teilweise erhielt der Flash Player sogar außerplanmäßige Sicherheitsupdates. Trotzdem tauchen immer neue Schlupflöcher auf. Der Flash Player scheint so löchrig wie ein Schweizer Käse.

Flash Player als Einfallstor für Viren und Co.

Bedrohlich, denn der Flash Player ist immerhin auf fast jedem Computer anzutreffen. Entweder bewusst installiert oder unbewusst eingeschleust. Nein, nicht durch einen Virus. Microsoft möchte seinen Webbrowser Edge per Windows-Update zeitnah mit der neusten Version versorgen. Genauso macht es auch Google mit seinem Browser Chrome. Der Anwender braucht sich um nichts kümmern, weil alles unbemerkt im Hintergrund abläuft. So werden Sicherheitslücken immerhin rasch geschlossen. Für Update-faule Nutzer sicherlich ein Plus-Punkt.

Aber die Geschichte hat einen entscheidenden Nachteil. Microsoft und Google öffnen dadurch unfreiwillig ein Einfallstor für Viren, Trojaner und anderes Gewürm. Die wenigsten Anwender bekommen davon etwas mit oder wissen überhaupt, dass der Flash Player bei ihnen installiert ist. Wie viele von euch schauen wirklich, was beim Windows-Update alles gepatched wird? Habt ihr in Google Chrome schon mal chrome://plugins aufgerufen?

Brauchen wir Flash heutzutage überhaupt noch?

Ironischerweise ist Flash dabei, in die ewigen Jagdgründe des WWW einzugehen. Die Webtechnologien sind mittlerweile so weit, dass beispielsweise Browsergames immer häufiger mit freier Software entwickelt werden und für Videos braucht es heute lediglich HTML5. YouTube, Vimeo und Co. setzen bereits seit längerer Zeit darauf. Dem Nutzer fällt das jedoch erst auf, wenn er ihn abstellt. Flash ist ein Relikt, ähnlich wie es einst der Internet Explorer 6 war.

Auf mobilen Endgeräten ist Flash glücklicherweise kein Thema – Steve Jobs sei Dank. Dafür aber unter Windows und Mac OS X. Die Verbreitung ist nach wie vor sehr hoch. Statt den Flash Player zu bekämpfen, investiert Adobe viel Energie in die Entwicklung neuer Webtechnologien. Doch das ist ein langwieriger Prozess. Derweil kann nur jeder selbst aktiv werden und den Flash Player bei sich ausschalten.

Flash Stop: Ich deaktiviere meinen Flash Player!

Ich werde deshalb für zwei Wochen in meinem Browser den Flash Player abschalten. Damit möchte ich herausfinden, wo im Weballtag ich Flash überhaupt brauche. Meinen Erfahrungsbericht veröffentliche ich dann hier auf BASIC thinking. Ihr könnt gerne mitmachen und mir eure Erfahrungen schildern.

Schreibt einfach ein Kommentar, kontaktiert mich über meine sozialen Kanäle oder per E-Mail. Um den Flash Player auf „Click-to-Play“ umzustellen, findet ihr bei How-to Geek eine Anleitung für alle aktuellen Browser. Durch diese Änderung werden Flash-Inhalte nur mit eurem Einverständnis ausgeführt. Wer ganz sicher gehen will, kann den Flash Player gleich ganz deinstallieren.


Vernetze dich mit uns!

Like uns auf Facebook oder folge uns bei Twitter


Über den Autor

Markus Werner

Markus Werner (reraiseace) ist angehender Journalist und Fernstudent am Deutschen Journalistenkolleg. Er schreibt regelmäßig für SCREENGUIDE, BASIC thinking und seinen eigenen Blog reraise.eu über Android, IT Security, Netzpolitik und Webdesign.

6 Kommentare

  • Bei meinem Umstieg von Windows auf OSX habe ich einen Schlussstrich gezogen und Flash nicht mehr installiert. Im Alltag gibt es eigentlich keine Probleme, sogar die Videos auf Facebook kann ich mittlerweile direkt abspielen.
    Lediglich Seiten für den Junior sind zum Großteil leider noch Flash-Seiten. Da Alternativen zu finden ist mir noch nicht gelungen. Jemand zufällig Tipps?

  • Ich habe Flash bei Chrome vor ein paar Monaten deaktiviert. Periscope funktioniert nicht meh, auch andere Streamingdienste wie ustream und ein anderer der z.B. von der ESA genutzt wird basieren immer noch auf Flash. Es gibt zwar Alternativen, wie MPEG-DASH fürs Livestreaming aber z.B. Periscope kann hier nur HLS, welches von Chrome nur auf Android unterstützt wird. Die anderen Browser sind Safari und Edge.

  • Ich habe Flash auf meinem iMac vor etwa einem halben Jahr deaktiviert. Klar, es kommt vor, dass ich eine „ich-will-Flash“ Meldung sehe. In diesem Fall vergesse ich die Website und ziehe einfach weiter. Bisher hatte ich in den wenigen Fällen noch nie das Gefühl, etwas Wichtiges versäumt zu haben.

  • Habe vor knapp 8 Monaten das Flash-Plugin aus dem Firefox entfernt und vermisse ihn nicht. Falls wirklich etwas den Flash Player benötigt, benutze ich Chrome-Browser mit dem integrierten pepper flash-Modul. Gefühlt funktionieren 90 bis 95% der Websites problemlos ohne Flash. Bei TV-Mediatheken wie ARD und ZDF wird jedoch häufig noch der Flash Player benötigt (SRF hat ende Februar komplett auf HTML5 umgestellt). Vor allem wird man nicht permanent mit Update-Warnungen genervt! 😉

  • Bei der Verwendung von HTLM5 zur Wiedergabe von Youtube Inhalten fällt die CPU-Auslastung im Vergleich zum Flash Player fast doppelt so hoch aus (Effizienzaspekt). [Dazu springt dann der Lüfter an].
    Dies ist der Grund, warum ich immer noch den Flash-Player benutze. Und wie bereits im Artikel erwähnt: Ich muss Flash nicht überall aktivieren. Ich benutze ein Klick-To-Play-Addon und erlaube auf vertrauenswürdigen Seiten (Youtube, ZDF, …) den Flash-Player standardmäßig.
    Und dass man Software (wie den Flash-Player) regelmäßig aktualisieren muss, bin ich eh schon gewöhnt und stört micht nicht mehr weiter.

Kommentieren