Kommentar: Das verantwortungslose Schweigen der Hersteller muss ein Ende haben

Wenn eine SicherheitslĂĽcke aktiv ausgenutzt wird, braucht man Zusatz-Informationen. JĂĽrgen Schmidt von heise security sieht da die Hersteller in der Pflicht.

In Pocket speichern vorlesen Druckansicht 159 Kommentare lesen

(Bild: JLStock/Shutterstock.com)

Lesezeit: 4 Min.

Es hat sich eingebürgert, dass Hersteller in ihren Advisories routinemäßig angeben, ob eine Sicherheitslücke ihres Wissens nach bereits ausgenutzt wird. Das ist ein Fortschritt zu früher, als Hersteller lieber abwiegelten – "uns sind keine Versuche bekannt, die Lücke auszunutzen" – und vorhandenes Wissen über konkrete Vorfälle doch lieber für sich behielten. Dann konnte man nur orakeln, dass das Fehlen der beruhigenden Worte ein Indiz ist, dass da mehr im Busch sein kann und man den Patch deshalb vielleicht höher priorisieren sollte.

Ein Kommentar von JĂĽrgen Schmidt

JĂĽrgen Schmidt - aka ju - ist Leiter von heise Security und Senior Fellow Security des Heise-Verlags. Von Haus aus Diplom-Physiker, arbeitet er seit ĂĽber 25 Jahren bei Heise und interessiert sich auch fĂĽr die Bereiche Netzwerke, Linux und Open Source. Sein aktuelles Projekt ist heise Security Pro fĂĽr Sicherheitsverantwortliche in Unternehmen und Organisationen.

Zumindest an der Stelle hat sich die Kommunikation der Hersteller zu ihren Sicherheitslücken verbessert. So gab Microsoft etwa beim August-Patchday offen zu, dass ganze sechs der zehn Zero-Day-Lücken bereits aktiv ausgenutzt werden (bei den restlichen vier 0days war zwar die Existenz der Lücke vor dem Patch öffentlich bekannt, es wurden aber dato keine Angriffe beobachtet). Auch die Lücke hinter dem Edge-Patch am Wochenende ist bereits seit Tagen das Ziel von Angriffen. Wer das entsprechende Produkt einsetzt, wurde also unter Umständen bereits vor der Bereitstellung von Patches attackiert und hat jetzt unter Umständen längst Backdoors und Angreifer in seinen Systemen.

Und was jetzt? Patchen genügt in aller Regel nicht, um die loszuwerden, wie zum Beispiel die Admins der Uniklinik Düsseldorf leidvoll feststellen mussten. Die hatten ihre Citrix-VPN-Gateways zwar gegen #Shitrix gepatcht, bekamen über die bereits zuvor installierte Backdoor kurz darauf trotzdem Besuch durch eine Ransomware-Bande. Man muss in Fällen, in denen eine Lücke bereits ausgenutzt wird, unbedingt gründlich nachsehen, ob man vielleicht schon betroffen ist.

Doch wie? Microsoft gibt grundsätzlich keine zusätzlichen Informationen zu den bereits bekannten Vorfällen. Und viele Hersteller folgen da ihrem schlechten Vorbild. Dabei würde jedes Fitzelchen den Verteidigern bereits helfen. Angefangen bei der Zahl der bekannten Fälle, eventuelle Gemeinsamkeiten wie Länder oder Branchen und vor allem der relevante Zeitraum. Noch besser wären natürlich konkrete Hinweise, wie Fehlermeldungen, die ein Exploit produziert oder Indicators of Compromise in Form von IP-Adressen oder Datei-Hashes, nach denen man Ausschau halten kann. Ohne solche zusätzlichen Datenpunkte kann man nicht sinnvoll mit der nackten Information über bereits erfolgte Angriffe umgehen.

Um das noch einmal klarer zu formulieren: Diese Zusatz-Informationen zu bereits aktiv ausgenutzten Lücken sind keine "Nice to haves", keine netten Dreingaben, sondern essenziell für den professionellen und verantwortungsvollen Umgang mit Schwachstellen. Und Sicherheitslücken, ganz besonders solche, die aktiv ausgenutzt werden, sind auch kein "Business as usual", sondern immer noch in jedem einzelnen Fall ein #Fail, der erst durch einen Fehler des Herstellers möglich wurde. Bei dem sich also der Hersteller gefälligst nach Kräften bemühen sollte, den betroffenen Kunden bestmöglich zu helfen. Wir sollten uns also nicht mit diesen nichtssagenden Checkbox-Informationen abspeisen lassen, sondern die Hersteller immer wieder an ihre Verantwortung erinnern.

Es wäre übrigens auch überaus unseriös, das nur gegen zusätzliche Gebühren etwa für ein Extra-Produkt mit "Threat Intelligence" bereitzustellen. Die Masche "wäre doch zu schade, wenn deiner IT etwas zustoßen würde", sollten die Hersteller der Schutzgeldbranche überlassen. Diese Zusatz-Informationen zu aktiven Angriffen müssen allen Kunden kostenlos zur Verfügung stehen. Sofern diese vorliegen, natürlich. Wenn der Hersteller selbst keine konkreten Informationen zu den Angriffen hat, was ja vorkommen kann, sollte er das ebenfalls sagen und auf weiterführende, externe Quellen verweisen. Und möglichst danach seine Infrastruktur verbessern, wie betroffene Kunden ihm zukünftig solche hilfreichen Informationen zukommen lassen können.

Als kleiner Blick hinter die Kulissen: Wir werden in unseren Schwachstellen-Meldungen auf heise security diese Versäumnisse verstärkt kritisieren und explizit darauf hinweisen, wenn ein Hersteller seiner Verpflichtung nicht nachkommt, den Kunden die notwendigen Informationen zu bereits ausgenutzten Lücken bereitzustellen. Natürlich nicht nur bei Microsoft, sondern bei jedem Hersteller, der uns alle derart nackt im Regen stehen lässt. Vielleicht fragt ja auch der ein oder andere Leser bei Gelegenheit über seinen Service-Kontakt nach solchen Informationen oder beschwert sich über deren Fehlen. Denn nur gemeinsam können wir da etwas in Bewegung setzen.

(ju)