Sicherheitslücken: Updates müssen schneller kommen

Vor Kurzem veröffentlichte die Firma ZecOps Details über Sicherheitslücken in der Mail-Applikation von iPhones und iPads. Die Lücke ermöglicht es laut den Sicherheitsforschern, aktuelle iPhones ohne Nutzeraktion anzugreifen und dort Code auszuführen. Besonders brisant: Laut ZecOps wird die Lücke bereits aktiv ausgenutzt - und es gibt von Apple bisher noch kein offizielles Update.

Inzwischen sind einige Zweifel an der Darstellung von ZecOps aufgetaucht. In einem Statement von Apple heißt es, dass man davon ausgehe, dass die Lücke keine Umgehung der Sicherheitsmechanismen des iOS-Betriebssystems erlaube. Dass die Lücke aktiv ausgenutzt wird, zweifelt Apple daher an. Dass die Sicherheitslücken bestehen, ist allerdings unstrittig, es handelt sich um typische Memory-Corruption-Lücken.

Im Zweifel lieber updaten - wenn es ein Update gibt

Für Nutzer ist das eine äußerst unbefriedigende Situation. Dass sich bei Sicherheitslücken manchmal schwer einschätzen lässt, wie kritisch sie sind, und dass es darüber unterschiedliche Ansichten gibt, ist nichts ungewöhnliches. Doch im Normalfall gibt es dafür aus Nutzersicht eine recht simple Lösung: Man installiert das Sicherheitsupdate einfach trotzdem - unabhängig davon, ob man einschätzen kann, wie gefährlich die Lücke wirklich ist.

Doch das ist im aktuellen Fall nicht so einfach. Denn in einem offiziellen Release ist der Fix bisher nicht enthalten, er steht bislang nur in einer Beta-Version bereit, die sich nicht ohne größere Umstände installieren lässt. Was daran bemerkenswert ist: Ähnliche Situationen gab es zuletzt mehrfach in unterschiedlichsten Softwareprodukten.

Im März veröffentlichte Microsoft ein Sicherheitsadvisory für eine Lücke im Netzwerk-Dateisystem SMB, auch hier zunächst ohne Sicherheitsupdate. Details dazu wurden offenbar versehentlich veröffentlicht. In der Ankündigung schlug Microsoft verschiedene Gegenmaßnahmen vor, es war für Nutzer allerdings schwer ersichtlich, welche davon genau welches Szenario abwehren und was danach möglicherweise nicht mehr funktioniert.

Das "Shitrix"-Desaster - Wochen bis zum Patch

Im Januar kam es zu massenhaften Angriffen auf Geräte der Firma Citrix, nachdem erste Exploits für eine sehr kritische Sicherheitslücke auftauchten. Bekannt war diese Lücke zu dem Zeitpunkt bereits seit Mitte Dezember, aber Citrix hatte noch kein Update bereitgestellt. Die Gegenmaßnahmen von Citrix erforderten vergleichsweise umständliche Konfigurationsänderungen.

In vielen Fällen werden Sicherheitslücken von Personen gefunden, die keine bösen Absichten haben und die diese Lücken an die Hersteller melden. Im Idealfall einigen sich der Finder und der Hersteller auf einen Termin, an dem Informationen über die Lücke bekannt gegeben werden. Der Hersteller kann sich darauf vorbereiten und in Ruhe rechtzeitig ein Update bereitstellen.

Doch dieses geordnete Szenario funktioniert nicht immer, manchmal laufen Dinge chaotischer ab. Details über Lücken können absichtlich oder unabsichtlich geleakt werden. Manchmal werden Informationen über Lücken einfach online veröffentlicht, ohne den Hersteller vorher zu informieren. Es kann widersprüchliche Informationen über Angriffe geben. Und es kann vorkommen, dass Lücken entdeckt werden, weil sie bereits aktiv angegriffen werden und jemand die Angriffe analysiert hat.

Geschwindigkeit zählt

In all diesen Fällen ist es notwendig, dass Updates so schnell wie möglich beim Nutzer ankommen. Im Idealfall sollte sich die Reaktionszeit hier in Stunden und nicht in Tagen oder gar Wochen messen.

Das ist für Hersteller natürlich eine Herausforderung. Für die Geschwindigkeit sind zwei Dinge relevant: Wie schnell stehen Updates bereit und wie schnell werden sie beim Nutzer installiert? Einfachere und in vielen Fällen automatische Updates sorgen dafür, dass Nutzer die Aktualisierungen inzwischen in vielen, aber leider längst nicht in allen Fällen schnell erhalten.

Doch Hersteller müssen auch einen stärkeren Fokus auf den ersten Teil legen: Updates müssen, wenn es notwendig ist, extrem schnell bereitgestellt werden. Das ist natürlich nicht immer einfach. Updates können unerwartete Bugs verursachen und müssen getestet werden. Beim Testen müssen die Hersteller überall, wo es geht, auf Automatisierung setzen.

Es geht: Update am nächsten Tag

Dass schnelle Reaktionen auch bei komplexen Softwareprojekten möglich sind, hat zuletzt Mozilla gezeigt: Die chinesische Firma Qihoo360 meldete am 7. Januar eine kritische Sicherheitslücke an den Browserhersteller, die in aktiven Angriffen identifiziert wurde. Mozilla veröffentlichte das Update am 8. Januar, nur einen Tag später.