Sobald eine Sicherheitslücke in Microsoft-Produkten bekannt wird, steht der Software-Hersteller in der Kritik. Seit einiger Zeit ist das Unternehmen allerdings um offene Informationspolitik und aktuelle Patches bemüht. Andere große Hersteller haben hier noch deutlichen Nachholbedarf.
Als Mitte September eine gravierende Sicherheitslücke beim Internet Explorer bekannt wurde, gab es einige interessante Reaktionen. Neben denen, die sich ernsthaft Gedanken über die Vorgehensweise gemacht haben, gab es auch die, die mit einer gewissen Häme gegenüber Microsoft reagiert haben.
Solchen Spott findet man meist kombiniert mit dem Verweis darauf, dass man einen anderen Browser nutze und/oder ohnehin mit einem Apple iBook arbeite. Von der Häme einmal abgesehen, die ja menschlich nachvollziehbar ist, offenbart diese Reaktion allerdings ein schwerwiegendes Verständnisproblem bezüglich der IT-Sicherheit. Die Annahme, dass irgendein System sicher wäre, ist ebenso falsch wie naiv.
Wer sich beispielsweise anschaut, wie viele Sicherheitslücken mit dem Update auf iOS 6 geschlossen wurden, sollte sich keinen falschen Vorstellungen bezüglich der Sicherheit von Apple-Systemen hingeben. Mehr noch: Dort wurden mit erheblicher Verzögerung etliche längst bekannte und teilweise schwerwiegende Sicherheitslücken geschlossen, die beispielsweise die Installation von Schadsoftware oder die Umgehung der Kennwort-/PIN-Sperre ermöglichen.
Keine Software ist hundertprozentig sicher
Software ist grundsätzlich fehlerbehaftet. Entsprechend gibt es auch immer das Risiko von Sicherheitslücken. Das gilt für alle Anbieter, auch unabhängig vom Entwicklungsmodell – denn auch im Open-Source-Umfeld tauchen mit schöner Regelmäßigkeit Sicherheitslücken auf, die geschlossen werden müssen. Das Risiko, dass solche Lücken bekannt und ausgenutzt werden, wächst mit der Popularität von Plattformen und Anwendungen.
Während bisher vor allem Microsoft im Blickfeld stand, sind es nun eben auch Apple mit seinen Systemen oder die Android-Plattformen im Bereich mobiler Systeme. Das ist schlicht eine Frage der kritischen Masse – wenn diese erreicht ist, sind die Plattformen für potentielle Angreifer interessant. Die Annahme, dass man sich bei bestimmten Systemen keine Gedanken machen müsse, ist naiv. Die entscheidende Frage ist damit eine ganz andere: Wie gehen die Hersteller mit diesen Themen um? Wie ist die Informations- und Patch-Politik?
Das Argument, dass eine Sicherheitslücke weniger problematisch ist, wenn nicht darüber geredet wird, ist falsch. Denn die potentiellen Angreifer reden ohnehin darüber. Die potentiellen Angriffsziele können aber ohne das Wissen über mögliche Bedrohungen nicht gezielt reagieren. Entscheidend sind eine offene, strukturierte Informationspolitik und eine schnelle, einfache Reaktion auf Sicherheitsprobleme.
Microsoft verhält sich vorbildlich
Wenn man lange auf Patches warten muss – wie es bei Apple der Fall ist –, dann ist das sicher nicht der richtige Weg. Ein ähnlich negatives Beispiel ist das aktuelle Flash-Update von Adobe, bei dem ein umständlicher Patch-Prozess von Adobe unaufgefordert und ohne Zustimmung (und damit in rechtlich äußerst fragwürdiger Weise) zusätzliche Software wie die Google Toolbar und den Google-Browser Chrome installiert.
Ein regelmäßiger Patch-Prozess, der für die Benutzer so transparent wie möglich ist, ist die bessere Lösung. Wenn dann noch schnell auf aktuelle Risiken reagiert wird, wie es Microsoft gemacht hat, dann ist das der einzige richtige Ansatz. Natürlich wäre es besser, wenn es keine zu schließenden Sicherheitslücken gäbe. Da das aber nicht der Fall ist und wohl nie sein wird, geht es darum, darauf richtig zu reagieren.
Angesichts der offenen Informationspolitik und dem Patch-Management verhält sich Microsoft vorbildlich. Für Benutzer gleich welcher Plattform ist es sinnvoll, sich nicht zu sicher zu fühlen, sondern realistisch zu bleiben. Und für Sicherheitsverantwortliche gilt das ohnehin. Nur dann kann man sein Verhalten so anpassen, dass die Sicherheitsrisiken minimiert werden.