US-Behörde für Cybersecurity: Sicherheitslücken sind Produktfehler

Klare Worte fand Jen Easterly, die Chefin der US-Behörde für Cybersecurity, auf der mWise-Konferenz von Mandiant: "Die Wahrheit ist: Technologieanbieter sind diejenigen, die Schwächen" in ihre Produkte einbauen, die "Gaunern die Türe öffnen", berichtet die britische Nachrichtenseite The Register.

Selbst die Bezeichnung von Sicherheitslücken als "Software-Schwachstellen" sei zu milde und "verwischt in Wirklichkeit die Verantwortung. Wir sollten sie 'Produktfehler' nennen", zitiert The Register die Chefin der Cybersecurity & Infrastructure Security Agency (CISA). Weiter beklagt Easterly, dass immer die Anwenderinnen und Anwender aufgefordert werden, schnell Updates in ihre Software einzuspielen. "Warum fragen wir nicht: Warum braucht die Software so viele dringende Patches? Die Wahrheit ist: Wir müssen den Technologieverkäufern mehr abverlangen!"

Letztendlich liegt riskante Software Amerikas kritischer Infrastruktur zugrunde. Easterys Fazit: "Wir haben kein Cybersecurity-Problem, wir haben ein Softwarequalitäts-Problem – Wir brauchen nicht mehr Sicherheitsprodukte, wir brauchen mehr sichere Produkte!"

Leere Versprechen für mehr Sicherheit

Die CISA-Chefin wirbt seit Längerem für Security by Design und hat gemeinsam mit anderen internationalen Sicherheitsbehörden – inklusive dem deutschen BSI – im April 2023 eine Secure-by-Design-Initiative gestartet. Neben Informationen und Tipps umfasst sie die Aufforderung zu einem Versprechen (Pledge), das Firmenchefs und -chefinnen freiwillig ablegen können. Das haben bereits über 200 Personen getan, unter anderem von Microsoft, Google, Amazon, GitHub oder GitLab, nicht jedoch Apple.

Verbindlich sind diese Versprechen nicht und liest man in einzelne hinein, stellt man fest, dass sich die meisten Hersteller in erster Linie nur selbst und ihr Engagement für die Sicherheit loben.

(who)