![[ Porträtfoto: Norbert Luckhardt]](nl2k1.jpg)
"Unbemerkt" trotz "Full Disclosure"? "Unbemerkt" trotz "Full Disclosure"?Dass bekannter Security-Newsticker eine Sicherheitslücke erst mit sechs Wochen Verspätung meldet, ist schon recht ungewöhnlich – zumal, wenn es um ein sicherheitszertifiziertes System fürs Homebanking geht. Noch ungewöhnlicher ist es, wenn es sich dabei nicht um eine geheim gehaltene Verwundbarkeit der kriminellen Szene handelt, sondern um ein Problem, das sowohl der findige Hacker ("Colibri") als auch die zuständige Behörde (Bundesnetzagentur) und der Hersteller (Kobil) im Prinzip längst öffentlich gemacht hatten. "Im Prinzip" heißt hier, es gab zwar im Internet die entsprechenden Informationen, aber lange Zeit hatte sie niemand aktiv an die Multiplikatoren herangetragen – und die haben natürlich auch nicht die Kapazitäten, um Tag für Tag alle Hacker-Foren, Behörden- und Herstellerseiten dieser Welt zu durchforsten.
Die Moral von der Geschicht: Es ist offenbar noch immer nicht allseits akzeptierte "Best Practice", gefundene Schwachstellen intensiv zu kommunizieren, um für schnellstmögliche Abhilfe zu sorgen. Auch ein rasch verfügbarer Patch hilft letztlich nicht, wenn man beispielsweise als nicht-registrierter Nutzer erst zufällig die Homepage des Unternehmens besuchen muss, um davon zu erfahren. Dass auch die zuständige Behörde sich mit einem "wichtigen Hinweis" auf der Unterwebseite eines Sachgebiets begnügt hat, zeigt wohl klar: Hier handelt es sich nicht um den PR-Fehler eines einzelnen Anbieters, sondern um einen noch immer verbreiteten Mangel in Einstellung und Sicherheitskultur einer ganzen Branche, wenn nicht sogar der ganzen Gesellschaft.
In der Folge kann man sich als Anwender – zumindest abseits von massenhaft eingesetzter Software – nicht darauf verlassen, über einige wenige (auch hochwertige) Quellen zuverlässig und zeitig von allen Problemen zu erfahren, welche die genutzte Technik betreffen. Für IT-Betrieb und -Sicherheit bleiben der regelmäßige Kontakt sowohl zu den Anbietern als auch zu einer Vielzahl unabhängiger Quellen sowie das dazugehörige Informationsmanagement, um mit der resultierenden Datenflut umzugehen, daher eine wesentliche Aufgabe und Herausforderung. Hilfreich kann dabei eine automatisierte (Vor-)Selektion oder zumindest Zusammenfassung von Quellen in eine gemeinsame Oberfläche über RSS-Feeds sein – Tipps hierzu gibt unser Beitrag ab Seite 6.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2010#3, Seite 3
| 