Vom Vorreiter zum Sorgenkind

Vom Vorreiter zum Sorgenkind

Über Jahre hinweg war der Flash-Player als Software für Online-Videos Standard. Doch es mehren sich Sicherheitsprobleme. Inzwischen setzen sich andere Lösungen mehr und mehr durch.

Es begann als Software-Erfolgsgeschichte: Je stärker Videoclips im Internet verbreitet wurden, desto bedeutender wurde der Flash-Player von Adobe . Allerdings häufen sich Probleme mit der Anwendung, vor allem im Hinblick auf die Sicherheit. So gab es Anfang des Jahres Meldungen über Hackerangriffe auf Versionen des Flash-Players für verschiedene Betriebssysteme. Weitere Sicherheitslücken wurden im Laufe des Jahres bekannt. Darauf reagierte unter anderem der Konzern Mozilla und blockierte im Juli kurzzeitig alle Flash-Versionen in seinem Internet-Browser Firefox.

Doch warum ist Flash so anfällig für Attacken? "Ein Großteil des gigantischen Programmcodes ist zu einer Zeit entstanden, als IT-Sicherheit schlichtweg noch kein so großes Thema war, nämlich bis Ende der 90er-Jahre," erklärt David Pfaff vom Zentrum für IT-Sicherheit (Cispa) an der Universität des Saarlands. Im Nachhinein entpuppte sich das als Geburtsfehler der Software, der bei neueren Versionen nachwirkte. "Später entdeckte Sicherheitslücken wurden deshalb meist geschlossen, ohne die tieferliegenden Probleme in der Konzeption des Programms zu überdenken", so Pfaff weiter. Als problematisch habe sich auch die weite Verbreitung und Vielseitigkeit von Flash herausgestellt. "Flash ist auf verschiedenen Betriebssystemen zu finden, wo es eine große Zahl unterschiedlicher Funktionen erfüllt", erklärt der Saarbrücker Forscher. Es werde hauptsächlich zusammen mit Web-Browsern verwendet und spiele darin Video- und Audiodateien ab. Das mache die Software zu einem begehrten Ziel für Hacker, denn es gebe "eine große Anzahl potenzieller Opfer". Nicht zuletzt habe Adobe als Hersteller "in den letzten Jahren nicht unbedingt das Vertrauen vieler Entwickler gewonnen, insbesondere was die Reaktionen auf Sicherheitsprobleme angeht".

All dies hat dazu geführt, dass Flash gegenüber anderen Lösungen ins Hintertreffen geraten ist. Der Trend, so Pfaff, gehe dahin, dass der Flash-Player zunehmend durch sogenannte "native Implementierungen" abgelöst werde. Das bedeutet, dass etwa Browser direkt die Funktionen des Players erfüllen und die Software so überflüssig machen. Inzwischen hat sich die Computersprache HTML5 bei Browsern und Webseiten weitgehend etabliert und erlaubt es Nutzern, auf Flash als Software zu verzichten, etwa im Fall der Video-Plattform Youtube. Auch auf Smartphones werde die Software seit Längerem nicht mehr unterstützt, für Android gebe es seit 2012 keine Flash-Player-Updates mehr, erklärt Pfaff.

Der IT-Experte rät davon ab, der Software weiterhin zu vertrauen: "Die Geschichte hat gezeigt, dass Sicherheitslücken sehr häufig auftreten. Der einzige Grund, den Flash-Player weiterhin zu verwenden, war, dass viele Seiten nur damit richtig liefen. Das ist heute nicht mehr der Fall." Es sei zu empfehlen, den Player in Web-Browsern abzustellen oder, wo es nicht ohne gehe, ihn nur für bestimmte Seiten oder auf Nachfrage zu aktivieren.