Rückhaltlose Veröffentlichung von Sicherheitslücken erwünscht
Eine Befragung von Sicherheits-Experten durch die Hurwitz Group heizt die Diskussion um die Praxis bei der Veröffentlichung von Sicherheitslücken weiter an.
Eine Studie der Hurwitz Group heizt die Diskussion um die Praxis bei der Veröffentlichung von Sicherheitslücken weiter an. Die Consulting-Firma befragte über 300 IT-Security-Profis dazu, ob und wann Sicherheitslücken veröffentlicht werden sollten.
Die Hurwitz Gruppe liest aus den Antworten eine "überwältigende Unterstützung für Full Disclosure" heraus -- also für die rückhaltlose Offenlegung der Schwachstellen. Dies gelte sogar dann, wenn ein Sicherheitsloch die Rechner der eigenen Firma betreffe und die Veröffentlichung damit negative Auswirkungen auf diese haben könnte. Pete Lindsman von Hurwitz erklärt dieses Ergebnis damit, dass "Endbenutzer so frustriert über Hersteller sind, die nicht auf Sicherheitsprobleme reagieren, dass sie nahezu alles probieren würden." Und in der vollständigen Veröffentlichung von Sicherheitslücken sähen sie die letzte Hoffnung, die Hersteller über öffentlichen Druck und negative Publicity zu schnellerem Handeln zu bewegen.
Fast noch erstaunlicher ist, dass 39 Prozent Sicherheitslücken sofort nach ihrer Entdeckung und über zwei Drittel aller Befragten spätestens nach einer Woche veröffentlicht sehen möchten. Die Hersteller -- allen voran Microsoft -- fordern eine Frist von mindestens 30 Tagen und wollen auch dann keine so genannten Exploits veröffentlicht sehen. Diese konkreten Demonstrationen führten nur dazu, "Cyber-Kriminelle zu bewaffnen", hieß es dazu schon aus Redmond.
Vorgeblich geht es dem Software-Riesen natürlich darum, seine Kunden vor den Auswirkungen der Sicherheitslücken zu schützen. ZDNet zitiert einen Microsoft-Sprecher zur letzten Veröffentlichung eines Sicherheitslochs im Internet Explorer: "Es ist eine Schande, dass Thor diesen Sachverhalt veröffentlicht hat, bevor ein Patch fertig gestellt werden konnte, denn damit hat er das Risiko der Kunden beträchtlich erhöht."
Die Befragten sehen das offensichtlich anders: Sie versprechen sich letztlich besseren Schutz von einer schnellen und rückhaltlosen Veröffentlichung der Sicherheitsprobleme. Eine nachvollziehbare Einschätzung: Gerade der angegriffene Thor Larholm betreibt eine Seite mit ungepatchten Sicherheitslücken im Internet Explorer, auf der sich schon vor seiner letzten Veröffentlichung stolze 18 Einträge fanden.
Auf der anderen Seite befindet sich Microsoft in überraschender Gesellschaft. Auch die Apache-Entwickler beschwerten sich zuletzt über die voreilige Veröffentlichung eines Sicherheitslochs. Ihnen gab die Sicherheitsfirma ISS allerdings auch nur wenige Stunden Vorlauf. Diese kurz bemessene Frist hatte unter anderem eine Fehleinschätzung des Risikos und einen unwirksamen Patch zur Folge. (ju)
