Ausnutzung von Schwachstellen
Neue Sicherheitslücken, neue Probleme?
Bug-Bounty-Programme wie die ZDI helfen dabei, Schwachstellen verantwortungsvoll aufzudecken und so zu einem Gewinn für alle zu machen.
Save to Folio
von Richard Werner, Business Consultant
Wieder sind zwei neue Sicherheitslücken aufgetaucht, die betroffene Nutzer und Unternehmen vor Herausforderungen stellen werden. Diesmal sind die Microsoft-Browser Edge und Internet Explorer betroffen. Es handelt sich dabei um so genannte Zero Days, denn zum Zeitpunkt der Veröffentlichung war vom Hersteller noch kein Patch verfügbar. Diese Situation kennt nur Verlierer.
Die Situation wäre möglicherweise vermeidbar gewesen, folgt man den Auskünften des Sicherheitsforschers, der diese Lücken entdeckt hat: Er behauptet, Microsoft bereits zehn Monate vor der Veröffentlichung über seine Ergebnisse informiert zu haben. Nun ist der Anbieter eigentlich nicht dafür bekannt, solche Hinweise zu ignorieren. Die Erfahrung zeigt vielmehr, dass dessen Prozesse daraufhin optimiert sind, in solchen Fällen schnell und akkurat zu reagieren. Eine solche Verzögerung mag deshalb durchaus unbeabsichtigt oder zufällig entstanden sein. Das Resultat ist aber leider eine „Lose-Lose-Lose-Situation“.
Lose-Lose-Lose-Situation
Auf der einen Seite steht ein junger Sicherheitsforscher, der sich gezwungen sieht, seine Ergebnisse zu veröffentlichen. Da Millionen Nutzer davon betroffen sind und zu erwarten ist, dass innerhalb der nächsten Wochen bereits Angriffe auf diese Schwachstellen folgen werden, wird er wohl wenig Dank ernten.
Der zweite Verlierer ist Microsoft. Das Unternehmen ist nun gezwungen zu reagieren und erklärt der Öffentlichkeit entweder, warum kein Einschreiten notwendig ist (aus unserer Sicht eher unwahrscheinlich), oder stopft schnellstmöglich diese Lücke. Ein Image-Schaden und deutlicher Mehraufwand werden dabei auf jeden Fall die Folge sein.
Der dritte Verlierer – vermutlich der einzige, auf den es wirklich ankommt – sind die Nutzer. Wahrscheinlich werden sie demnächst einen Patch als Notfallmaßnahme erhalten, den sie sofort installieren müssen. Wir können nur hoffen, dass dem Hersteller genügend Zeit für eine vernünftige Qualitätssicherung bleibt. Zwangsläufig aber wird es ungemütlich, denn Cyberkriminelle haben durch die Offenlegung leider eine Blaupause dafür erhalten, wie sie angreifen können, und haben damit potenziell einen mehrtägigen Vorsprung. Besonders fatal ist, dass die allermeisten Menschen vermutlich überhaupt nichts von dieser Diskussion mitbekommen und solchen Angriffen komplett unvorbereitet gegenüberstehen.
Weiße Märkte
Ironischerweise vollzieht sich dieser Vorfall ziemlich genau zwei Wochen nach Abschluss des weltweit größten Hacking-Wettbewerbs Pwn2Own. Dieser wird von der Trend Micro Zero Day Initiative organisiert, dem weltweit ersten und größten herstellerunabhängigen sogenannten Weißen Markt. Auch hier geht es um Sicherheitslücken und Sicherheitsforscher stellen ihr Können unter Beweis. Und auch hier ist ihnen die Aufmerksamkeit der Szene für einen solchen Hack gewiss. Im Unterschied zu dem genannten Fall werden bei Pwn2Own allerdings für solche Hacks Preisgelder bis hin zu sechsstelligen Beträgen gezahlt. Außerdem sind betroffene Hersteller teilweise mit eigenen Entwicklungsressourcen vor Ort, um die Schwachstellen direkt zu beheben. Nur in den allerseltensten Fällen ignoriert ein Anbieter bei Pwn2Own entdeckte Sicherheitslücken. Dafür gibt es festgelegte Prozesse für eine verantwortungsvolle Veröffentlichung.
Lose-Lose-Lose wird zu Win-Win-Win
Die Weißen Märkte wurden geschaffen, um solche Sicherheitslücken verantwortungsvoll zu schließen. Davon profitieren alle: Die Internetgemeinde wird in der Regel ohne große Verzögerung geschützt. Zudem gibt es keinen Vorlauf für Cyberkriminelle, um einen Zero Day auszunutzen. Auch dem betroffenen Anbieter bleibt in der Regel ein angemessener Zeitraum für die Qualitätssicherung. Durch die 13-jährige Zusammenarbeit mit Herstellern werden ein „versehentliches Übersehen“ oder der Kontakt zu den falschen Ansprechpartnern praktisch ausgeschlossen. Letztendlich profitiert auch der Sicherheitsforscher durch mehr Prestige und ein durchaus nennenswertes Preisgeld. Pwn2Own und ähnliche Veranstaltungen existieren, damit solche unkoordinierten Veröffentlichungen nicht mehr notwendig sind. Schließlich wollen wir alle sichere Software – aber vor allem wollen wir in diesem Zusammenhang gelöste Probleme und nicht nur gute Ratschläge.