Bekanntmachen von Sicherheitslücken – offen oder privat?

Von Raimund Genes, Chief Technology Officer

Das Thema Sicherheitslücken und der Umgang damit bedarf noch einiger grundsätzlicher Klärung. Ende Mai kündigten Google-Sicherheitsexperten die neue Policy des Unternehmens bezüglich Zero-Day-Lücken und deren Schließen an. Sie schlugen vor, Informationen über Zero-Day-Exploits nicht später als sieben Tage nach der Benachrichtigung des betroffenen Anbieters veröffentlicht werden. Idealerweise sollte die Benachrichtigung oder der Patch vom Anbieter kommen, doch wiesen sie auch darauf hin, dass Forscher selbst die Einzelheiten publik machten, falls der Anbieter nicht reagiert.
Dies ist ein ziemlich ehrgeiziges Ziel. Microsoft beispielsweise setzt keine Fristen für die Veröffentlichung kritischer Patches: Qualität und Schnelligkeit müssen sich die Waage halten – und das ist nicht einfach zu bewerkstelligen. Einerseits wird eine Sicherheitslücke von Malware-Autoren schnell ausgenützt, andererseits aber kann ein kurzfristig zusammengebauter Patch negative Nebeneffekte haben und beispielsweise eine Anwendung oder gar ein ganzes System beschädigen.

Nahezu jeder Sicherheitsanbieter hat mit False Positives zu kämpfen, die zu negativen Nebenwirkungen führen. Auch wenn der Anbieter eine ganze Reihe Maßnahmen dagegen aufgesetzt hat – etwa einen Check gegen Whitelists – Murphys Gesetz schlägt zu. Anbieter von Betriebssystemen müssen besonders hohe Sorgfalt walten lassen, wenn es um Patches geht, denn ein solcher Update betrifft Millionen Computer.

Eine Bekanntmachung nach sieben Tagen ist vernünftig und akzeptabel, aber in einer solch kurzen Zeitspanne kann niemand einen Patch erwarten. Es bleibt zu sehen, wie Google selbst mit dem Vorschlag umgehen wird. Derzeit gibt es einen Android Trojaner, der sich aufgrund einer Sicherheitslücke vor dem “Device Administrator” verstecken kann, also auch für Sicherheitsprogramme unsichtbar ist. Wird Google diese Lücke innerhalb von sieben Tagen schließen?

Doch die Debatte sollte sich nicht nur darum drehen, wie lang es dauern darf, bis eine Schwachstelle öffentlich und dann geschlossen wird. Es geht vor allem darum wie Sicherheitslücken veröffentlicht werden. Laut Medienberichten ist die US-Regierung mittlerweile der größte Aufkäufer von Schadsoftware. Wie lässt sich sicherstellen, dass die betroffenen Anbieter informiert werden, dass die Malware nicht für Angriffe wie Stuxnet genutzt wird? Und wie kann man sicherstellen, dass die Sicherheitslücken nicht in den Händen der Kriminellen landen?

Es muss alos eine breitere Diskussion stattfinden, darüber wie mit Sicherheitslücken umzugehen ist. Daran sollten Entwickler, Regierungen und Forscher teilnehmen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*