|
Meldungen von Sicherheitslücken in diversen Programmen oder Systemen tauchen immer wieder auf. Ob sie öffentlich gemacht werden sollen oder nicht, ist schon seit Jahren ein Streitthema zwischen Sicherheitsexperten und Softwareanbietern. Auf der einen Seite steht die Befürchtung, dass es so erst recht zu Hackerangriffen kommt. Auf der anderen Seite wird die Ansicht vertreten, dass Softwarehersteller ohne Bekanntgabe nicht handeln würden.
Sicherheitslücken können durch Fehler in der Software entstehen. Dadurch können Viren und ähnliches in den Rechner eindringen und dort Schäden anrichten. In der Regel können Sicherheitslücken aber durch einen Patch, ein Softwareupdate, das Fehler korrigiert, geschlossen werden, der vom Hersteller zur Verfügung gestellt wird. Ein bekanntes Beispiel ist der „W32.Sasser.Worm“, der seit 2004 eine Lücke in den Betriebssystemen „Windows 2000“ und „Windows XP“ nutzt und zu Systemabstürzen führt. Allerdings wurde das „Schlupfloch“ bereits mit einem Windows-Update geschlossen.
Argumente, die für oder gegen eine Veröffentlichung sprechen, sind leicht zu finden. So ist zum Beispiel der Sicherheitsexperte und Mitgründer der Sicherheitsfirma „Counterpane Internet Security“ Bruce Schneier für eine Veröffentlichung, da erst durch den öffentlichen Druck die Hersteller schnell genug reagieren würden. Wie das dann in der Realität aussieht, ist wieder eine andere Sache und abhängig von den Erzeugern. Microsoft braucht beispielsweise für das Schließen von Lücken ein halbes bis ganzes Jahr. Das Wissen über Sicherheitslücken macht auch den Nutzer der Programme vorsichtiger. Er kann selbst einschätzen, wie stark sein eigener Rechner gefährdet ist. Die Veröffentlichung bringt dem Nutzer zusätzlich ein Sicherheitsgefühl, da er davon ausgehen kann, dass er über bestehende Lücken informiert wird.
Eine andere Position vertritt unter anderem der Computerriese Microsoft. Nach ihrer Meinung soll eine entdeckte Sicherheitslücke nur dem Hersteller gemeldet werden. Eine Veröffentlichung könnte Hackern die Möglichkeit geben, die bestehenden Schlupflöcher zu nutzen. Hinzu kommt, dass die Veröffentlichung von jeder Sicherheitslücke dem Ruf des Herstellers beziehungsweise des Unternehmens schaden kann. Werden zum Beispiel bei einem Betriebssystem viele Mängel festgestellt und öffentlich gemacht, dann wird es von Nutzern eher gemieden.
Viele Seiten im Internet veröffentlichen Sicherheitslücken. Dazu gehören unter anderem: www.heise.de und www.computec.ch.
|
