Von Sicherheitslücken, Scharlatanen und Selbstverpflichtungen

Beitrag von Raimund Genes, CTO

 

Es ist nicht das erste Mal, dass IT-Sicherheitshersteller als Scharlatane bezeichnet werden. Das kennen wir in der Sicherheitsindustrie gut. So bezeichnete Chris Di Bona von Google uns im Jahr 2011, nachdem wir bei Trend Micro ihn mit einer Vorhersage bezüglich Android-Schädlingen anscheinend verärgert hatten.

Sein damaliger Originaltext:

”Virus companies are playing on your fears to try to sell you bs protection software for Android, RIM and IOS. They are charlatans and scammers. If you work for a company selling virus protection for android, rim or IOS you should be ashamed of yourself.”

“The barriers to spreading such a program from phone to phone are large and difficult enough to traverse when you have legitimate access to the phone, but this isn’t independence day, a virus that might work on one device won’t magically spread to the other.”

„All the major vendors have app markets, and all the major vendors have apps that do bad things, are discovered, and are dropped from the markets.“

Wir lagen, das müssen wir zugeben, mit unserer Aussage auch daneben. Anstatt der von uns prophezeiten Anzahl von 129.000 Schädlingen waren es 250.000. Anders ausgedrückt: Wir hatten recht, dass das Schädlingsproblem bei Android stark zunimmt.

Aber warum dann diese Anfeindungen gegen Sicherheitshersteller? Das liegt wahrscheinlich an den aggressiven Marketing-Auftritten einiger Hersteller. Hundertprozentige IT-Sicherheit gibt es nicht, aber die wird von einigen Herstellern versprochen. Es wird gelogen, und unabhängige Sicherheitsforscher, die Schwachstellen in Sicherheitsprodukten aufdecken, werden von einigen Herstellern mundtot gemacht.

Ich kann nicht für alle Sicherheitshersteller sprechen, kenne aber viele, die Sicherheitslücken-Forschung willkommen heißen, und mit den Findern zusammenarbeiten, um die Lücken zu schließen. So betreiben wir bei Trend Micro selbst Forschungen bezüglich Betriebssystem- und Applikationssicherheit und helfen den betroffenen Herstellern, diese zu schließen. Um es klar zu sagen: Wir bei Trend Micro gehen mit den uns gemeldeten Problemen beziehungsweise Schwachstellen seriös um und versuchen diese zu lösen – und eben speziell auch dann, wenn es um unsere eigenen Lösungen geht.

Denn es geht nicht darum, Cyberkriminelle auf mögliche Schwachstellen aufmerksam zu machen – die suchen und finden diese auch ohne entsprechende Meldungen. Die Veröffentlichung von Sicherheitslücken – natürlich mit gebührendem Vorlauf für die Hersteller – ist eine Information für die Öffentlichkeit, sie dient dem Schutz der Anwender: Wenn Lücken bekannt werden, haben Hersteller die Möglichkeit, schnellstmöglich zu reagieren – und auch die Pflicht, dies zu tun. Trend Micro wird mit potenziellen Sicherheitslücken in den eigenen Produkten verantwortungsvoll und transparent umgehen, um eine Gefährdung der eigenen Kunden zu minimieren.

Bezüglich Marketingaussagen sollte man immer vorsichtig sein. Die allwissende Glaskugel gibt es nicht, aber die Kunden hoffen darauf – und das wissen die Marketingabteilungen. Und da die meisten Sicherheitslösungen aus dem „Marketingland Nummer 1“, den USA, kommen, gibt es natürlich keine Grenzen, was die Anpreisung der Produkte betrifft. Es wird auch darüber hinweggesehen, wie interessiert amerikanische Stellen am Einsammeln von Daten sind, natürlich auch bei Sicherheitsprodukten, die „netterweise“ immer mit dem Hersteller kommunizieren müssen, um effektiv zu sein.

Wenn ein Sicherheitsprodukt ausgewählt wird, sollte man sich auf unabhängige Testberichte verlassen. Und entgegen der Marketingversprechungen schneidet der in einem aktuellen Zeitungsartikel erwähnte Hersteller besonders schlecht bei unabhängigen Tests ab – ein Alarmzeichen. Des Weiteren sollte es von dem Hersteller eine Selbstverpflichtung geben, dass keine Daten an Behörden beziehungsweise Geheimdienste weitergegeben werden – und auch keine Hintertürchen für stattliche Stellen eingebaut sind (siehe EICAR-Mindestanforderungen). Und da tun sich amerikanische Hersteller schwer.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.