Expertenkommentar von Paragon: Der richtige Umgang mit Sicherheitslücken

“Wir denken dass eine Frist von 90 Tagen ausreichend bemessen ist und ein Hersteller in der Lage sein sollte innerhalb dieses Zeitfensters eine kritische Lücke zu schließen”, erklärt Simon Koehl, Head of online marketing bei der Paragon Software Group. “Die Veröffentlichung einer kritischen Sicherheitslücke halten wir für wichtig. Das Argument dass die Veröffentlichung Hackern ‘Tür und Tor’ öffnet, kann so nicht gelten, da dieser Spezies die Lücke unter Umständen bereits bekannt ist. Wir denken nicht dass es dem Kunden eines Autoherstellers lieber wäre erst über die Probleme mit der Bremsanlage informiert zu werden wenn diese bereits behoben wurden. Nur durch das Wissen um Sicherheitsprobleme können sich die relevanten Usergruppen auch entsprechend schützen.”

“Wir wissen aus eigener Erfahrung dass der Umgang seitens Microsofts mit Bugs in der Vergangenheit nicht immer vorbildlich war”, fährt Koehl fort. “Beim konkreten Beispiel hätte Google die zusätzlichen drei Tage aber unter Umständen gewähren können – vorausgesetzt dass Microsoft das Vorhandensein des Patches zum relevanten Zeitpunkt auf irgendeine Art glaubhaft belegen konnte. Auf der anderen Seite kann sich Google auch nicht mit einem vorbildlichen Umgang in punkto sicherheitskritischen Bugs brüsten wie jüngere Nachrichten zum Beispiel im Zusammenhang mit Android belegen. Insofern halten wir das Ganze auch für eine gehörige Portion ‘Marketingkrieg’.

Eine hundertprozentige Sicherheit kann und wird es nie geben. Dessen ist sich auch Microsoft bewusst und Chris Betz schreibt folgerichtig: ‘Let’s face it, no software is perfect’ (Quelle: http://blogs.technet.com/b/msrc/archive/2015/01/11/a-call-for-better-coordinated-vulnerability-disclosure.aspx). Insofern halten wir unsere Kunden dazu an, regelmäßige System- und Datensicherungen durchzuführen, private Daten zu verschlüsseln, und bei Themen wie Nutzerdaten, Onlinedaten etc. lieber zweimal als einmal nachzudenken.”