Suchen

Trend Micro CTO fordert Diskussion über Sicherheitslücken Zero Day Schwachstellen diskutieren

| Autor / Redakteur: Raimund Genes, Trend Micro / Peter Schmitz

Nicht nur Cyberkriminelle, sondern auch Staaten (wie zum Beispiel die USA) bezahlen viel Geld für noch unbekannte Sicherheitslücken. Google will künftig Schwachstellen nach sieben Tagen öffentlich machen, aber die Zeitfrage ist gar nicht das entscheidende Thema.

Firmen zum Thema

Wenn Regierungen Schwachstellen und Schadsoftware kaufen, werden betroffene Softwarehersteller dann zuverlässig informiert oder werden die Erkenntnisse für offensive Maßnahmen missbraucht?
Wenn Regierungen Schwachstellen und Schadsoftware kaufen, werden betroffene Softwarehersteller dann zuverlässig informiert oder werden die Erkenntnisse für offensive Maßnahmen missbraucht?
(Bild: Archiv)

Einige Wochen vor dem Prism-Skandal wurde durch die Nachrichtenagentur Reuters bekannt, dass die US-Regierung mittlerweile der größte Aufkäufer von Schadsoftware ist, mit der sich unbekannte oder noch nicht geschlossene Sicherheitslücken ausnutzen lassen.

Obwohl es keinen besseren Beweis dafür gibt, wie brisant das Thema Sicherheitslücken ist, fangen manche Softwarehersteller erst jetzt damit an, die Zeit zwischen Entdeckung, Bekanntmachung und Behebung zu verkürzen. Das ist nicht allein mit Nachlässigkeit zu erklären. Offenbar sind erst noch einige Grundsatzfragen zu klären.

Einer der Gründe dafür, dass es bislang keine einheitlichen Standards beim Umgang mit Sicherheitslücken gibt, liegt darin, dass ein Zielkonflikt zwischen Geschwindigkeit und Qualität besteht. Nicht jede Sicherheitslücke lässt sich innerhalb eines eng bemessenen Zeitraums schließen, ohne dass negative Nebeneffekte drohen. Diese könnten die Anwender in ihrer Arbeit behindern, indem sie zum Beispiel ein Betriebssystem zum Absturz bringen.

Vor diesem Hintergrund ist dem Google-Vorschlag zuzustimmen, dass neu entdeckte und bereits angegriffene Sicherheitslücken nicht später als sieben Tage, nachdem der betroffene Hersteller informiert wurde, publik gemacht werden. Doch damit die Erwartung zu verknüpfen, dass innerhalb dieser Frist auch ein qualitätsgeprüftes Reparaturprogramm zur Verfügung gestellt wird, wäre unseriös. Hierin hat wieder Microsoft Recht. Die Redmonder geben keine Fristen für das Schließen gefährlicher Sicherheitslücken bekannt.

Nicht wie lange, sondern wie

Es kommt jedoch nicht nur darauf an, wie lange es zwischen Problemerkennung und Lösung dauert, sondern auch und vor allem darauf, wie wir überhaupt mit dem Dokumentieren von Sicherheitslücken umgehen. Wenn Regierungen darauf abgestimmte Schadsoftware kaufen, dient das dann wirklich zuallererst unserer Sicherheit? Werden die betroffenen Softwarehersteller zuverlässig informiert? Werden die Erkenntnisse nicht auch für offensive Maßnahmen missbraucht? Sorgt dieser „ökonomische“ Lösungsansatz, der dem Zahlen von Schweigegeld gleichkommt, wirklich dafür, dass das Wissen über Sicherheitslücken nicht irgendwann im kriminellen Untergrund weiterverbreitet wird?

Diese Fragen sind nicht nur nicht beantwortet, sie werden auch noch gar nicht diskutiert. Alle an dieser Problematik Beteiligten – Entwickler, Regierungen und Forscher – müssen sich zusammensetzen und Antworten zu finden versuchen.

Raimund Genes ist CTO beim IT-Sicherheitsanbieter Trend Micro.

(ID:40225140)