Sicherheitsmeldungen: Panikmache oder fundierte Warnung?

So entsteht eine Sicherheitsmeldung

Wir haben nachgehakt, wie eine solche Sicherheitsmeldung entsteht und wo sich im Laufe des Prozesses möglicherweise Fehler einschleichen können. Secunia-Sprecher Kristensen erklärt: Am Anfang der Kette steht der Entdecker, der die Lücke meldet. Diese prüft Secunia zunächst anhand öffentlich zugänglicher Informationen über die jeweilige Software auf Plausibilität. Die Reputation des Entdeckers spielt dabei eine untergeordnete Rolle. Wie ein Sprecher der IBM X-Force erklärt, werden die jeweiligen Quellen einer Sicherheitslücke mithilfe des Ratingsystems CVSS eingestuft.

Ist die betroffene Software verfügbar, wird die Lücke nachvollzogen. In Falle des Shop-Systems war dies aber nicht so einfach, es gab keine Möglichkeit, die Software zu testen. Laut Secunia nutzt man in diesem Fall zunächst alle verfügbaren Informationen, um die Plausibilität der gemeldeten Sicherheitslücke nochmals zu überprüfen, zeitgleich versucht, man den Hersteller zu kontaktieren.

Antwortet der Hersteller nicht und erscheint die Lücke plausibel (eine SQL-Einspeisung in ein Shop-System ist eine durchaus denkbare Sicherheitslücke), versucht Secunia, mehr Informationen vom Entdecker zu erhalten. Sollte der Hersteller dann immer noch nicht reagieren, publiziert man ein Advisory auf Basis der jeweiligen Informationen.

Laut Secunia wollen Hersteller nicht immer einen öffentlichen Patch für eine spezielle Sicherheitslücke bereitstellen, sondern beheben einzelne Lücken ohne viel Aufsehen. Das ist beispielsweise dann sinnvoll, wenn die Lücke nur vergleichsweise wenige Nutzer betrifft. Secunia erhalte regelmäßig E-Mails von Herstellern, die ihre Produkte auf diese Weise abgesichert hätten, ohne dass Kunden und Nutzer explizit auf ein bestehendes Sicherheitsleck hingewiesen würden. Bereits erstellte Sicherheitsmeldungen würden dann entsprechend aktualisiert. Dass ein Hersteller eine Lücke vertuschen will, komme nur selten vor, so Kristensen.

Was die Zuverlässigkeit und Richtigkeit der Lücken betrifft, habe man derzeit mehr als 23 000 Sicherheitsmeldungen veröffentlicht und musste von diesen nur zehn Stück zurückziehen. Im Falle des beanstandeten Online-Shops habe man an dem Tag, an dem die Meldung veröffentlicht wurde, versucht, mit dem Hersteller Kontakt aufzunehmen. Diese sei aber im Sande verlaufen.