Wie zuverlässig sind Security Advisories?

Sicherheitsmeldungen: Panikmache oder fundierte Warnung?

Sicherheitsmeldungen oder Advisories sind ein fester Bestandteil der IT-Industrie. Doch was steckt hinter diesen Meldungen, wie entstehen sie und wie glaubhaft sind diese Nachrichten, die sich oft wie ein Lauffeuer durchs Internet verbreiten?

Nachrichten wie „Kritische Lücke in Produkt XY gefunden“ erscheinen täglich auf den einschlägigen Seiten oder in Mailinglisten. Von dort aus verbreiten sich die Meldungen weiter. Im Normalfall ist das durchaus positiv, schließlich sollen ja möglichst viele User gewarnt werden. Doch was ist, wenn sich in die ursprüngliche Nachricht ein Fehler eingeschlichen hat, der immer weitere Kreise zieht?

Stein des Anstoßes war diese Sicherheitsmeldung, in welcher der Sicherheitsanbieter Secunia vor einer Sicherheitslücke in einem Web-Shop-System warnt. Laut Secunia war es möglich, SQL-Befehle einzuschleusen, um das System zu manipulieren. „Stimmt nicht“, so der Kommentar des Shop-Herstellers rund ein halbes Jahr später. Diese Lücke habe es nicht gegeben.

Sucht man nun nach einer Bestätigung durch andere Anbieter, finden sich bei Google zahlreiche Seiten, die ebenfalls auf diese Lücke hinweisen. Sie taucht etwa bei F-Secure, Juniper oder der IBM X-Force auf – alles vermeintlich unabhängige Quellen.

Vergleicht man nun aber die einzelnen Einträge, wird man stutzig. Denn der Wortlaut der Meldung ähnelt sich in vielen Fällen, teilweise ist er identisch. Ein Blick auf die Quellenangabe verrät: Es handelt sich größtenteils nicht um selbst recherchierte Sicherheitslücken, sondern man beruft sich auf die vermeintlichen Entdeckungen anderer Dienste. Vor allem Secunia wird häufig als Quelle genannt, manche Anbieter binden den kompletten Feed des Anbieters auf die eigene Seite ein.

Es sei allgemein üblich, dass auch große Sicherheitsseiten Informationen von anderen Diensten übernehmen – auch ohne diese selbst noch einmal zu prüfen, so Secunia-Sprecher Thomas Kristensen. Nur wenige Websites verfügen über einen festen Stab an Personal, der das Know-how hat, solche Sicherheitslücken selbst zu überprüfen, so Kristensen weiter.