Responsible Disclosure: "Wir sollten die Kriminellen aushungern"

Patchdays sind eine große Errungenschaft für die IT-Sicherheit - Sicherheitslücken werden von den meisten Softwareherstellern heute systematisch und deutlich schneller geschlossen als noch vor ein paar Jahren. Doch die Sicherheitsfirma Checkpoint beobachtet einen Trend, der die klassische Disclosure-Politik verändern könnte: Die Informationen über Sicherheitslücken werden von Kriminellen genutzt. Müssen Unternehmen ihren Umgang mit Schwachstellen ändern? Darüber haben wir mit Oded Vanunu, Head Of Products Vulnerability Research bei Checkpoint, am Rande von Checkpoints Hausmesse CPX in Mailand gesprochen.

Golem.de: Die Bedrohungslage im Bereich IT-Sicherheit hat sich in den vergangenen Jahren verändert, mehr Unternehmen schließen Sicherheitslücken regelmäßig an einem Patchday. Was denken Sie darüber?

Oded Vanunu: Ich erwarte von allen Software-Anbietern, dass sie ein organisiertes Patch-Management haben. Sie sollten viel stärker in Bezug auf ihre Sicherheit bewertet werden und nicht so stark nach Features. Das ist im Moment das größte Problem in der IT-Welt. In den vergangenen Jahren hat sich in diesem Bereich viel getan, das begrüße ich. Doch ich sehe ein Problem: Es gibt Unternehmen mit sehr viel installierter Software, Adobe und Microsoft sind Beispiele. Jede noch so kleine Sicherheitslücke kann hier ausgenutzt werden - und nicht nur die Funktion der Software selbst, sondern auch die anderen mit dem Netzwerk verbundenen Geräte.

"Innerhalb weniger Tage werden funktionierende Exploits erstellt"

Golem.de: Gibt es auch Probleme mit den Patchdays?

Stellenmarkt

1. Knappschaft Kliniken Service GmbH, Bottrop
2. RENK AG, Augsburg

Vanunu: Ja. In den vergangenen Monaten habe ich immer wieder darüber nachgedacht, ob wir unseren Umgang mit der Veröffentlichung von Sicherheitslücken ändern sollten. Denn es gibt einen neuen Zyklus: Wir sehen immer öfter, dass die detaillierten Informationen, die über Sicherheitslücken veröffentlicht werden, von Kriminellen genutzt werden, um Angriffe zu starten. Mein Problem ist, dass Cybercrime-Banden regelrecht nach kritischen Sicherheitslücken jagen und aktuelle Patches per Reverse-Engineering analysieren.

Sie erstellen dann sofort funktionierende Exploits auf Basis dieser Informationen. Und sie wissen, dass sie ein großes offenes Fenster für Angriffe haben, bis die Patches überall eingespielt werden. Wir als IT-Sicherheitscommunity geben möglicherweise zu viele Informationen weiter - und daraus entsteht eine sehr schlechte Situation. Wir geben sehr viele Informationen weiter, die zum Bauen von Exploits genutzt werden können, teilweise sogar den Namen einer einzelnen, verwundbaren Funktion. Und wir wissen mittlerweile, dass Cybercrime-Banden wenig Ressourcenprobleme haben und solche Exploits in Kampagnen nutzen können.