Thema der Woche

17. Juli 2002

Sicherheitslöcher: Anwender wollen sofort Klarheit

Einer Studie der US-amerikanischen [externer Link] Hurwitz Group zufolge spricht sich die Mehrheit der IT-Profis für die umgehende Meldung von Sicherheitslücken aus: 39 Prozent möchten Probleme unmittelbar nach ihrer Entdeckung publiziert sehen, weitere 28 Prozent der befragten "Software Security Professionals" votierten für die Veröffentlichung innerhalb einer Woche. Damit haben die Teilnehmer an der Hurwitz-Studie eine klare Absage an eine 30-Tage oder länger währende Karenzzeit erteilt, die Software-Anbietern Gelegenheit gäbe, vor der Veröffentlichung von Sicherheitslöchern einen Patch bereitzustellen.

Die befragten Anwender zeigten sich offensichtlich verärgert, dass Anbieter unsichere Applikationen freigeben und nur ungenügend auf gemeldete Fehler reagieren. Eine umfassende Darstellung (sog. full disclosure) von Sicherheitsproblemen in der Presse und in öffentlichen Foren scheine die einzige Möglichkeit zu sein, Softwarehersteller zur Beseitigung von Schwächen zu bewegen (vgl. "Schnellere Information durch das CERT CC").

Dabei nehmen die Befragten auch ein eventuell erhöhtes Risiko in Kauf, dass durch die umgehende und detaillierte Meldung zusätzliche Angriffe ermöglicht werden könnten. "Obwohl es widersinnig erscheint, das eigene Unternehmen einem solchen Risiko auszusetzen, sind die Anwender doch wegen der trägen Anbieter derart frustriert, dass sie bereit sind, fast alles auszuprobieren", kommentiert Pete Lindstrom, Director of Security Strategies der Hurwitz Group. Man sehe das "Full Disclosure" als letzten Ausweg und hoffe darauf, dass die öffentliche Aufmerksamkeit und negative Publicity die Anbieter zu mehr Aktivität zwinge.

Die große Bedeutung von Softwarefehlern für die (Un-)Sicherheit von Unternehmen hat auch die aktuelle KES/KPMG-Sicherheitsstudie belegt: Softwarebedingte technische Defekte und Qualitätsmängel stehen in der Schadenursachenstatistik auf Platz Drei gleich nach Computer-Viren/-Würmen und der Nachlässigkeit von Unternehmensangehörigen (vgl. das Editorial zu KES 2002/3 "Fehlerhaft in allen Teilen?").