Trend Micro CTO fordert Diskussion über Sicherheitslücken

Zero Day Schwachstellen diskutieren

| Autor / Redakteur: Raimund Genes, Trend Micro / Peter Schmitz

Wenn Regierungen Schwachstellen und Schadsoftware kaufen, werden betroffene Softwarehersteller dann zuverlässig informiert oder werden die Erkenntnisse für offensive Maßnahmen missbraucht?
Wenn Regierungen Schwachstellen und Schadsoftware kaufen, werden betroffene Softwarehersteller dann zuverlässig informiert oder werden die Erkenntnisse für offensive Maßnahmen missbraucht? (Bild: Archiv)

Nicht nur Cyberkriminelle, sondern auch Staaten (wie zum Beispiel die USA) bezahlen viel Geld für noch unbekannte Sicherheitslücken. Google will künftig Schwachstellen nach sieben Tagen öffentlich machen, aber die Zeitfrage ist gar nicht das entscheidende Thema.

Einige Wochen vor dem Prism-Skandal wurde durch die Nachrichtenagentur Reuters bekannt, dass die US-Regierung mittlerweile der größte Aufkäufer von Schadsoftware ist, mit der sich unbekannte oder noch nicht geschlossene Sicherheitslücken ausnutzen lassen.

Obwohl es keinen besseren Beweis dafür gibt, wie brisant das Thema Sicherheitslücken ist, fangen manche Softwarehersteller erst jetzt damit an, die Zeit zwischen Entdeckung, Bekanntmachung und Behebung zu verkürzen. Das ist nicht allein mit Nachlässigkeit zu erklären. Offenbar sind erst noch einige Grundsatzfragen zu klären.

Einer der Gründe dafür, dass es bislang keine einheitlichen Standards beim Umgang mit Sicherheitslücken gibt, liegt darin, dass ein Zielkonflikt zwischen Geschwindigkeit und Qualität besteht. Nicht jede Sicherheitslücke lässt sich innerhalb eines eng bemessenen Zeitraums schließen, ohne dass negative Nebeneffekte drohen. Diese könnten die Anwender in ihrer Arbeit behindern, indem sie zum Beispiel ein Betriebssystem zum Absturz bringen.

Vor diesem Hintergrund ist dem Google-Vorschlag zuzustimmen, dass neu entdeckte und bereits angegriffene Sicherheitslücken nicht später als sieben Tage, nachdem der betroffene Hersteller informiert wurde, publik gemacht werden. Doch damit die Erwartung zu verknüpfen, dass innerhalb dieser Frist auch ein qualitätsgeprüftes Reparaturprogramm zur Verfügung gestellt wird, wäre unseriös. Hierin hat wieder Microsoft Recht. Die Redmonder geben keine Fristen für das Schließen gefährlicher Sicherheitslücken bekannt.

Nicht wie lange, sondern wie

Es kommt jedoch nicht nur darauf an, wie lange es zwischen Problemerkennung und Lösung dauert, sondern auch und vor allem darauf, wie wir überhaupt mit dem Dokumentieren von Sicherheitslücken umgehen. Wenn Regierungen darauf abgestimmte Schadsoftware kaufen, dient das dann wirklich zuallererst unserer Sicherheit? Werden die betroffenen Softwarehersteller zuverlässig informiert? Werden die Erkenntnisse nicht auch für offensive Maßnahmen missbraucht? Sorgt dieser „ökonomische“ Lösungsansatz, der dem Zahlen von Schweigegeld gleichkommt, wirklich dafür, dass das Wissen über Sicherheitslücken nicht irgendwann im kriminellen Untergrund weiterverbreitet wird?

Diese Fragen sind nicht nur nicht beantwortet, sie werden auch noch gar nicht diskutiert. Alle an dieser Problematik Beteiligten – Entwickler, Regierungen und Forscher – müssen sich zusammensetzen und Antworten zu finden versuchen.

Raimund Genes ist CTO beim IT-Sicherheitsanbieter Trend Micro.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 40225140 / Sicherheitslücken)