Expertenkommentar von Paessler zum Thema “Richtiger Umgang mit Sicherheitslücken”

“Als Hersteller einer Monitoring-Software sind Sicherheitslücken natürlich ein brisantes Thema für uns, schließlich ist eine Monitoring-Lösung ein zentrales Element in einem Netzwerk und hat auf fast alle Bereiche Zugriff”, so Dirk Paessler, Gründer und Vorstand der Paessler AG. “Im Februar 2014 war PRTG Network Monitor durch einen Bug in der Web-Benutzeroberfläche angreifbar geworden. Ein PRTG Nutzer (mit validem Passwort) hätte sich Zugriff auf die Monitoring-Daten anderer Nutzer verschaffen können. In den allermeisten Fällen kein großes Problem – schließlich arbeiten in der Regel wenige Administratoren mit der Software, die sowieso Zugriff auf alle Daten haben. Setzt allerdings ein Dienstleister eine PRTG-Instanz bei mehreren Kunden ein, hätte über die Sicherheitslücke ein Kunde Zugriff auf die Monitoring-Daten anderer Kunden bekommen können.”

“Sofort nachdem der Bug bekannt wurde, haben wir sämtliche Kunden direkt in der Software und via E-Mail informiert”, fährt Paessler fort. Parallel konnten wir die Sicherheitslücke innerhalb eines Tages beheben und schließlich Entwarnung geben. Im Anschluss informierte ich mit einem Blog-Eintrag die Nutzer nochmals über den kompletten Vorfall. Glücklicherweise war die Sicherheitslücke nicht zu einem Angriff genutzt worden.

Es war uns wichtig, von Anfang an offen mit dem Thema umzugehen. Unsere Kunden sind Techniker, die wissen, dass keine Software immer bugfrei sein kann. Daher ist ein gewisses Verständnis gegeben: Entscheidend ist der Umgang mit einem einmal aufgetretenen Bug. Vertuschen und heimliches Fixen kann möglicherweise funktionieren – tut es das nicht und das Problem kommt an die Öffentlichkeit, steht über Jahre erarbeitetes Vertrauen auf dem Spiel.

Das Feedback der Nutzer auf unseren Umgang mit der Sicherheitslücke war jedenfalls durchgehend positiv und hat uns geholfen, das Vertrauen in unsere Software und unser Unternehmen weiter zu steigern.”