Expertenkommentar von Trend Micro zum Thema „Der richtige Umgang mit Sicherheitslücken“
„Stellen Sie sich vor, Sie finden heraus, dass einer Ihrer Nachbarn die Haustüre des Mietshauses offen lässt und damit Einbrechern buchstäblich Tür und Tor öffnet“, erklärt Richard Werner, Regional Solution Manager bei Trend Micro Deutschland. „Was würden Sie tun? Sie würden ihn sicher zur Unterlassung auffordern und weiter beobachten. Und falls er sich nicht an Ihre Vorgaben hält, würden Sie seinen Namen und die Adresse des Hauses veröffentlichen, damit er auf Druck der Öffentlichkeit einlenkt. Veröffentlichen um jeden Preis?“
„Sie würden den Namen nicht publik machen? In der realen Welt haben Sie wahrscheinlich Recht“, so Werner weiter. „In der Welt der IT-Sicherheitslücken jedoch kommt es tatsächlich vor. Im jüngsten Streit zwischen Google und Microsoft über zwei Sicherheitslücken ging es letztlich um zwei Tage zwischen der Veröffentlichung der Lücke einerseits und des Patches andererseits. Hierdurch wurde die Lücke für Angreifer aber erst interessant gemacht. Hat Google also falsch gehandelt? Es ist sicher richtig und wichtig, dass Sicherheitsforscher auch in fremden Programmen nach Sicherheitslücken suchen und diese dem Softwarehersteller mitgeteilt werden. Es ist aber auch richtig, dass ein Softwarehersteller nicht jedes Problem sofort oder in einem starr definierten Zeitraum beheben kann. Von dieser Warte aus betrachtet haben also beide recht.
Was ist nun der richtige Umgang mit frisch aufgedeckten Sicherheitslücken? Die Devise lautet meiner Meinung nach: auf jeden Fall veröffentlichen, aber nicht zu jeder Zeit. Das heißt, dass die Systeme angepasst sein müssen, bevor oder spätestens wenn eine Sicherheitslücke veröffentlicht wird. Dies geht natürlich nicht, wenn man diese Systeme dazu verändern muss. Andererseits gibt es auch Technologien, die dies nicht zwingend erforderlich machen. Voraussetzung ist hierfür allerdings eine gute Zusammenarbeit des betroffenen Softwareherstellers mit Sicherheitsunternehmen. Microsoft ist in diesem Bereich vorbildlich, weshalb es für Unternehmen bereits jetzt Möglichkeiten gibt, sich vor vielen Problemen auch ohne direkte Installation eines Patches zu schützen. Leider kann man das nicht von allen Softwareherstellern behaupten.“