Warum wir über manche Updates (nach Sicherheitslücken von Drittanbietern) erst im Nachhinein informieren

30.04.2019 Claudia Tetz-Froböse 5 Minuten Lesezeit


Gestern war es wieder soweit: Beim täglichen Überprüfen der aktuellen IT-Sicherheitsmeldungen wurden mehrere Sicherheitslücken im Linux Kernel beschrieben. Kurz darauf war im Internet Software zu finden, welche die systematische Ausnutzung dieser Schwachstellen mit Hilfe von Programmcodes ermöglicht, sogenannte Exploits.

So etwas treibt den Puls unserer Kollegen aus dem Team Forschung und Entwicklung schlagartig in die Höhe, denn schnellstes Handeln ist erforderlich. Heikel und ärgerlich wird es auch für unsere Kunden. Beim Einspielen der Patches oder beim Austausch von Systemen können kurze Systemausfälle entstehen - beispielsweise beim Rebooten. Auf diese dürfen wir im Vorfeld nicht hinweisen.

Warum weisen wir NICHT im Vorfeld auf das Beheben einer Sicherheitslücke (von Drittanbietern) hin?

Je häufiger die relevante Sicherheitslücke öffentlich beschrieben wird, desto schneller und vielfältiger werden die Exploits, die von potentiellen Angreifern programmiert werden. Also handeln wir in diesem Fall verantwortlicher, wenn wir erst die Maßnahmen zur Behebung der Sicherheitslücke durchführen und dann im Nachhinein unsere Kunden über den Vorfall informieren.

Manchmal ernten wir von Kunden Unverständnis für dieses Vorgehen. Wir können gut verstehen, dass alle Kunden und Partner lieber im Vorfeld informiert wären. So handhaben wir das auch grundsätzlich bei normalen Updates oder Systemkonfigurationen.

Bei Sicherheitslücken von Drittanbietern wäre die Vorinformation absolut kontraproduktiv, denn dadurch würden wir als Informanten der Angreifer fungieren - sie förmlich mit der Nase darauf stoßen. Das wäre nun wirklich nicht im Sinne unserer Kunden.

Wir minimieren mit unserem Vorgehen das Sicherheitsrisiko und beseitigen das Problem, bevor Schlimmeres passiert.

– Daniel Aberger, Linux-Admin bei Profihost

Wodurch entstehen überhaupt diese Sicherheitslücken bei Drittanbietern?

Auch Softwareentwickler sind nur Menschen. Und Menschen machen Fehler. So kann im Entwicklungsprozess der Software versehentlich eine Schwachstelle entstehen. Irgendwo in den Millionen Zeilen Programmcode schleicht sich ein Fehler ein, der eine Bedrohung für die Sicherheit eines Computersystems darstellt. Diese Fehler können durchaus längere Zeit in der Software schlummern ohne entdeckt zu werden, da sie nicht unbedingt direkt die Funktion der Software beeinträchtigen.

Sobald der Fehler entdeckt und als IT-Sicherheitsmeldung bekannt gemacht wird, beginnt der Wettlauf mit der Zeit – respektive mit den Angreifern.

Bisher konnten wir immer rechtzeitig alle Lücken schließen bevor ein wirkliches Problem entstand. Und das lag genau daran, dass wir uns erst um das Problem und dann um die Information gekümmert haben.

Unsere Kunden können sich immer darauf verlassen, dass wir verantwortungsvoll handeln und verantwortungsbewusst informieren – genau zum richtigen Zeitpunkt.

mig datenschutz datensicherheit 2019 ecommerce
Sehr gut
4.97/5.00