Sicherheitslücken – worüber reden wir hier eigentlich

Ein Kommentar von Raimund Genes, CTO beim IT-Sicherheitsanbieter Trend Micro

Hallbergmoos, 25. Juni 2013. Einige Wochen vor dem Prism-Skandal wurde durch Reuters bekannt, dass die US-Regierung mittlerweile der größte Aufkäufer von Schadsoftware ist, mit der sich unbekannte oder noch nicht geschlossene Sicherheitslücken ausnutzen lassen. Obwohl es keinen besseren Beweis dafür gibt, wie brisant das Thema Sicherheitslücken ist, fangen manche Softwarehersteller erst jetzt damit an, die Zeit zwischen Entdeckung, Bekanntmachung und Behebung zu verkürzen. Das ist nicht allein mit Nachlässigkeit zu erklären. Offenbar sind erst noch einige Grundsatzfragen zu klären.

Einer der Gründe dafür, dass es bislang keine einheitlichen Standards beim Umgang mit Sicherheitslücken gibt, liegt darin, dass ein Zielkonflikt zwischen Geschwindigkeit und Qualität besteht. Nicht jede Sicherheitslücke lässt sich innerhalb eines eng bemessenen Zeitraums schließen, ohne dass negative Nebeneffekte drohen. Diese könnten die Anwender in ihrer Arbeit behindern, indem sie zum Beispiel ein Betriebssystem zum Absturz bringen.

Vor diesem Hintergrund ist dem Google-Vorschlag zuzustimmen, dass neu entdeckte und bereits angegriffene Sicherheitslücken nicht später als sieben Tage, nachdem der betroffene Hersteller informiert wurde, publik gemacht werden. Doch damit die Erwartung zu verknüpfen, dass innerhalb dieser Frist auch ein qualitätsgeprüftes Reparaturprogramm zur Verfügung gestellt wird, wäre unseriös. Hierin hat wieder Microsoft Recht. Die Redmonder geben keine Fristen für das Schließen gefährlicher Sicherheitslücken bekannt.

Nicht wie lange, sondern wie

Es kommt jedoch nicht nur darauf an, wie lange es zwischen Problemerkennung und Lösung dauert, sondern auch und vor allem darauf, wie wir überhaupt mit dem Dokumentieren von Sicherheitslücken umgehen. Wenn Regierungen darauf abgestimmte Schadsoftware kaufen, dient das dann wirklich zuallererst unserer Sicherheit? Werden die betroffenen Softwarehersteller zuverlässig informiert? Werden die Erkenntnisse nicht auch für offensive Maßnahmen missbraucht? Sorgt dieser „ökonomische“ Lösungsansatz, der dem Zahlen von Schweigegeld gleichkommt, wirklich dafür, dass das Wissen über Sicherheitslücken nicht irgendwann im kriminellen Untergrund weiterverbreitet wird?

Diese Fragen sind nicht nur nicht beantwortet, sie werden auch noch gar nicht diskutiert. Alle an dieser Problematik Beteiligten – Entwickler, Regierungen und Forscher – müssen sich zusammensetzen und Antworten zu finden versuchen.

Bitte weitergeben: