Expertenkommentar von Jakobsoftware zum Thema “Der richtige Umgang mit Sicherheitslücken”

“Grundsätzlich gibt es drei Wege, mit Sicherheitslücken umzugehen: Full Disclosure, Coordinated Disclosure und No Disclosure”, so Jürgen Jakob, Geschäftsführer von Jakobsoftware und Sicherheitsexperte. “Das erste Prinzip steht für eine vollständige und zeitnahe Veröffentlichung des Sicherheitsrisikos. Full Disclosure soll den öffentlichen Druck auf die Hersteller erhöhen, sodass sie schädliche Probleme rasch lösen. Oft nützt den End-Usern jedoch die Information über eine potenzielle Gefahr nur etwas, wenn ihnen sofort Patches zur Verfügung stehen. Der sich daraus ergebende Ansatz, Sicherheitslücken erst publik zu machen, wenn es dafür bereits Lösungen gibt, heißt Coordinated Disclosure. Daneben gibt es noch eine dritte Handlungsweise: No Disclosure beschreibt die vollkommene Geheimhaltung von Sicherheitsfehlern, da eine Veröffentlichung von Mängeln Kriminellen die Möglichkeit bietet, diese auszunutzen. Deshalb sollen Hacker entsprechende Informationen erst gar nicht erhalten. Aber: Potenzielle Opfer bleiben ebenfalls uninformiert und können keine Vorsorgemaßnahmen ergreifen.”

“Alle drei Positionen haben durchaus etwas für sich, weshalb die Disclosure-Frage letztlich eine Glaubensfrage ist”, fährt Jakob fort. “Grundsätzlich wünschenswert ist in jedem Fall aber eine stärkere Zusammenarbeit der beteiligen Parteien, um End-User effektiver vor Datenmissbrauch zu schützen. Genauso entscheidend sind hohe Qualitätsrichtlinien in den Entwicklungsabteilungen. Der beste Weg mit Sicherheitslücken umzugehen ist also, diese erst gar nicht entstehen zu lassen – zum Beispiel durch Sparsamkeit an Code und Daten und durch eine Entwicklung, die Qualitätskontrolle ernst nimmt.”