• IT-Karriere:
  • Services:

Sicherheitslücken: Updates müssen schneller kommen

Wenn Sicherheitslücken bekannt werden, heißt es updaten. Oft dauert es aber zu lange, bis eine Aktualisierung überhaupt bereitsteht.

Ein IMHO von veröffentlicht am
Manchmal ist ein Sprint nötig, um Sicherheitsupdates zeitnah bereitzustellen.
Manchmal ist ein Sprint nötig, um Sicherheitsupdates zeitnah bereitzustellen. (Bild: tableatny, Wikimedia Commons/CC-BY 2.0)

Vor Kurzem veröffentlichte die Firma ZecOps Details über Sicherheitslücken in der Mail-Applikation von iPhones und iPads. Die Lücke ermöglicht es laut den Sicherheitsforschern, aktuelle iPhones ohne Nutzeraktion anzugreifen und dort Code auszuführen. Besonders brisant: Laut ZecOps wird die Lücke bereits aktiv ausgenutzt - und es gibt von Apple bisher noch kein offizielles Update.

Stellenmarkt
  1. Schwarz IT KG, Neckarsulm
  2. CSS AG, deutschlandweit

Inzwischen sind einige Zweifel an der Darstellung von ZecOps aufgetaucht. In einem Statement von Apple heißt es, dass man davon ausgehe, dass die Lücke keine Umgehung der Sicherheitsmechanismen des iOS-Betriebssystems erlaube. Dass die Lücke aktiv ausgenutzt wird, zweifelt Apple daher an. Dass die Sicherheitslücken bestehen, ist allerdings unstrittig, es handelt sich um typische Memory-Corruption-Lücken.

Im Zweifel lieber updaten - wenn es ein Update gibt

Für Nutzer ist das eine äußerst unbefriedigende Situation. Dass sich bei Sicherheitslücken manchmal schwer einschätzen lässt, wie kritisch sie sind, und dass es darüber unterschiedliche Ansichten gibt, ist nichts ungewöhnliches. Doch im Normalfall gibt es dafür aus Nutzersicht eine recht simple Lösung: Man installiert das Sicherheitsupdate einfach trotzdem - unabhängig davon, ob man einschätzen kann, wie gefährlich die Lücke wirklich ist.

Doch das ist im aktuellen Fall nicht so einfach. Denn in einem offiziellen Release ist der Fix bisher nicht enthalten, er steht bislang nur in einer Beta-Version bereit, die sich nicht ohne größere Umstände installieren lässt. Was daran bemerkenswert ist: Ähnliche Situationen gab es zuletzt mehrfach in unterschiedlichsten Softwareprodukten.

Im März veröffentlichte Microsoft ein Sicherheitsadvisory für eine Lücke im Netzwerk-Dateisystem SMB, auch hier zunächst ohne Sicherheitsupdate. Details dazu wurden offenbar versehentlich veröffentlicht. In der Ankündigung schlug Microsoft verschiedene Gegenmaßnahmen vor, es war für Nutzer allerdings schwer ersichtlich, welche davon genau welches Szenario abwehren und was danach möglicherweise nicht mehr funktioniert.

Das "Shitrix"-Desaster - Wochen bis zum Patch

Im Januar kam es zu massenhaften Angriffen auf Geräte der Firma Citrix, nachdem erste Exploits für eine sehr kritische Sicherheitslücke auftauchten. Bekannt war diese Lücke zu dem Zeitpunkt bereits seit Mitte Dezember, aber Citrix hatte noch kein Update bereitgestellt. Die Gegenmaßnahmen von Citrix erforderten vergleichsweise umständliche Konfigurationsänderungen.

In vielen Fällen werden Sicherheitslücken von Personen gefunden, die keine bösen Absichten haben und die diese Lücken an die Hersteller melden. Im Idealfall einigen sich der Finder und der Hersteller auf einen Termin, an dem Informationen über die Lücke bekannt gegeben werden. Der Hersteller kann sich darauf vorbereiten und in Ruhe rechtzeitig ein Update bereitstellen.

Doch dieses geordnete Szenario funktioniert nicht immer, manchmal laufen Dinge chaotischer ab. Details über Lücken können absichtlich oder unabsichtlich geleakt werden. Manchmal werden Informationen über Lücken einfach online veröffentlicht, ohne den Hersteller vorher zu informieren. Es kann widersprüchliche Informationen über Angriffe geben. Und es kann vorkommen, dass Lücken entdeckt werden, weil sie bereits aktiv angegriffen werden und jemand die Angriffe analysiert hat.

Geschwindigkeit zählt

In all diesen Fällen ist es notwendig, dass Updates so schnell wie möglich beim Nutzer ankommen. Im Idealfall sollte sich die Reaktionszeit hier in Stunden und nicht in Tagen oder gar Wochen messen.

Das ist für Hersteller natürlich eine Herausforderung. Für die Geschwindigkeit sind zwei Dinge relevant: Wie schnell stehen Updates bereit und wie schnell werden sie beim Nutzer installiert? Einfachere und in vielen Fällen automatische Updates sorgen dafür, dass Nutzer die Aktualisierungen inzwischen in vielen, aber leider längst nicht in allen Fällen schnell erhalten.

Doch Hersteller müssen auch einen stärkeren Fokus auf den ersten Teil legen: Updates müssen, wenn es notwendig ist, extrem schnell bereitgestellt werden. Das ist natürlich nicht immer einfach. Updates können unerwartete Bugs verursachen und müssen getestet werden. Beim Testen müssen die Hersteller überall, wo es geht, auf Automatisierung setzen.

Es geht: Update am nächsten Tag

Dass schnelle Reaktionen auch bei komplexen Softwareprojekten möglich sind, hat zuletzt Mozilla gezeigt: Die chinesische Firma Qihoo360 meldete am 7. Januar eine kritische Sicherheitslücke an den Browserhersteller, die in aktiven Angriffen identifiziert wurde. Mozilla veröffentlichte das Update am 8. Januar, nur einen Tag später.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-55%) 26,99€
  2. 24,99€ (PS4 und Xbox One)
  3. (u. a. Need for Speed: Heat Deluxe Edition für 31,99€, FIFA 20 für 20,99€, Madden NFL 20...

norbertgriese 30. Apr 2020 / Themenstart

Da wird doch derjenige, der am meisten zahlt, bestimmen, was gemacht wird. Updates kann...

DAASSI 30. Apr 2020 / Themenstart

Sehe ich auch so. Man muss das konkrete Problem erstmal analysieren und testen. Zu...

Kommentieren


Folgen Sie uns
       


Probefahrt mit dem Corsa-e

Wir haben den vollelektrischen Opel Corsa-e einen Tag lang in Berlin und Brandenburg Probe gefahren.

Probefahrt mit dem Corsa-e Video aufrufen
Maneater im Test: Bissiger Blödsinn
Maneater im Test
Bissiger Blödsinn

Wer schon immer als Bullenhai auf Menschenjagd gehen wollte - hier entlang schwimmen bitte. Maneater legt aber auch die Flosse in die Wunde.
Ein Test von Marc Sauter

  1. Mount and Blade 2 angespielt Der König ist tot, lang lebe der Bannerlord
  2. Arkade Blaster 3D-Shooter mit der Plastikkanone spielen
  3. Wolcen im Test Düster, lootig, wuchtig!

Lego Education Spike Prime: Block für Block programmieren lernen
Lego Education Spike Prime
Block für Block programmieren lernen

Mathe büffeln? Formeln pauken? Basic-Code entwickeln? Ganz ehrlich: Es gibt angenehmere Arten, die MINT-Welt kennenzulernen.
Ein Test von Jan Rähm

  1. Lego Technic und Mindstorms Basteln mit Klemmbausteinen
  2. ISS Lego bringt Bausatz der Internationalen Raumstation
  3. Anzeige LEGO Technic Kranwagen bringt doppelten Bauspaß

Change-Management: Wie man Mitarbeiter mitnimmt
Change-Management
Wie man Mitarbeiter mitnimmt

Wenn eine Firma neue Software einführt oder Prozesse digitalisiert, stößt sie intern oft auf Skepsis. Häufig heißt es dann, man müsse "die Mitarbeiter mitnehmen" - aber wie?
Von Markus Kammermeier

  1. Digitalisierung in Deutschland Wer stand hier "auf der Leitung"?
  2. Workflows Wenn Digitalisierung aus 2 Papierseiten 20 macht
  3. Digitalisierung Aber das Faxgerät muss bleiben!

    •  /