Sicherheitsmeldungen: Panikmache oder fundierte Warnung?

Kommunikation ist kritisch – Tipps für Hersteller

Das Debakel lässt sich in zwei Wörtern zusammenfassen: fehlende Kommunikation. Die Nachfragen der Sicherheitsfirmen liefen ins Leere, also gingen diese davon aus, dass die Sicherheitslücke legitim ist.

Versucht der Entdecker einer Sicherheitslücke, Kontakt zum Hersteller aufzubauen, sollte man dies nicht ignorieren. Denn die Informationen rund um die Sicherheitslücke landen mit an Sicherheit grenzender Wahrscheinlichkeit im Internet, wo sie für jedermann einsehbar sind. Script-Kiddies haben in diesem Fall leichtes Spiel, wenn sie in die betroffenen Produkte eindringen möchten. Ähnliches gilt, wenn Nutzer der Produkte auf solche Schwachstellen verweisen oder einen entsprechenden Beitrag in einem eventuell vorhandenen Forum starten.

Es lohnt sich, die Webseiten einschlägiger Hersteller regelmäßig nach dem eigenen Produkt zu durchsuchen. Hier bietet sich beispielsweise die NVD an. Diese Datenbank der US-Regierung ist die zentrale Anlaufstelle für Schwachstellen, nahezu alle gemeldeten Lücken fließen hier mit Quellenangaben ein. Alternativ bietet zum Beispiel auch Secunia einen kostenpflichtigen Dienst an, der Nutzer über neue Meldungen zu zuvor definierten Anwendungen informiert.

Handelt es sich tatsächlich um ein fehlerhaftes Advisory, sollte man sich in jedem Fall an die Sicherheitsfirmen wenden. Unter den meisten Sicherheitsmeldungen findet sich eine Kontaktadresse. Erhält man nicht sofort eine Antwort, sollte man nachhaken, allerdings eine mögliche Zeitverschiebung berücksichtigen.

Patches, die in aller Stille ausgerollt, werden, sind nicht immer die beste Lösung. Zum einen fehlt es an der Information für die Nutzer, zum anderen kriegen es nicht alle Sicherheitsanbieter mit, dass die Sicherheitslücke behoben wurde. Idealerweise sendet man den Anbietern einen entsprechenden Link zum Patch-Download und bittet sie, diesen Link in das Advisory aufzunehmen.