Der Fall der kürzlich behobenen Windows MSHTML-Schwachstelle (CVE-2024-43461) zeigt, dass Microsoft auf Hinweise zweier Hersteller (Trend Micro und CheckPoint), dass die Lücke bereits von Cyberangreifern ausgenutzt wurde, nicht ernsthaft reagiert hat. Die Sicherheitslücke wurde zuerst im September 2024 als Teil des Patch Tuesday offengelegt, jedoch erst nachträglich als bereits ausgenutzt markiert.
Ein Kommentar von Richard Werner, Security Advisor bei Trend Micro.
Hersteller haben die Pflicht, ihre Kunden über die Gefahren von Sicherheitslücken aufzuklären. Denn dass ihre Kunden direkt verwundbar sind und daraus entstehende Probleme wieder auf den Hersteller zurückfallen, haben die meisten bereits verstanden. Die Bereitstellung dieser Informationen ist nicht einfach nur „nice to have“, sondern auch eine notwendige Maßnahme zum Selbstschutz. Doch das ist nur die Spitze des Eisbergs.
Denn unter der Patch-Oberfläche brodelt es gewaltig. Wir werden dieses Jahr aller Voraussicht nach erstmalig die 30.000er-Marke für registrierte Sicherheitslücken knacken. Darüber hinaus wird aktuell im Schnitt alle drei Tage die Ausnutzung einer neuen Schwachstelle durch Kriminelle bekannt – ganze 150 waren es 2023. Oft stehen dieselben Software-Produkte im Fokus, weil Patches zu schnell, unsauber oder unzureichend entwickelt werden.
Kriminelle müssen sich im Prinzip nur in der unmittelbaren Nähe bekannter Lücken umsehen, um neue Schwachstellen zu finden. Die meisten davon werden nicht von den Unternehmen selbst entdeckt, sondern von unabhängigen Forschern. Diese melden ihre Funde entweder den Herstellern oder verkaufen sie im Untergrund.
Der Umgang eines Unternehmens mit ehrlichen Findern kann deshalb entscheidend sein. Damit ist in erster Linie die Kommunikation gemeint. Werden Finder ernst genommen? Wird das Problem verstanden? Wird nachvollzogen, was ein Forscher gemacht hat?
Die Sicherheitsforscher kritisieren immer häufiger das Verhalten der Hersteller. Besonders ärgerlich ist es, wenn Vorschläge zur Einstufung der Kritikalität im CVSS (Common Vulnerability Scoring System) vom Hersteller ohne nachvollziehbare Begründung herabgestuft werden. Das erschwert es den Forschern, zu beurteilen, ob die Abstufung gerechtfertigt ist oder ob das Problem einfach nicht richtig verstanden wurde.
Hinzu kommt, dass ehrliche Finder selbst einiges an Zeit und Aufwand investieren, um solche Lücken zu schließen. Es gibt deshalb ein gewisses Maß an Etikette, um auch künftig konstruktiv zusammenarbeiten zu können. Doch wenn immer wieder neue oder alte Probleme der eigenen Software vorgehalten werden, weil man sich vorher nicht ausreichend ausgetauscht hat, geht die Höflichkeit schon mal verloren – und das auf beiden Seiten.
Diese Konflikte und Spannungen wären eigentlich vermeidbar. Doch ein Blick auf Social Media zeigt, dass solche Vorfälle fast täglich passieren. Die Nervosität in der Branche ist weit verbreitet und zeigt sich in vielen Details. Überarbeitung der Mitarbeiter aufgrund von verschlankten Prozessen zur Kosteneinsparung ist sicherlich eine der Ursachen. Alles soll schneller und effektiver werden, doch das führt nicht zwangsläufig zu besserer Qualität oder mehr Kundenzufriedenheit.
Dieses Verhalten ist in der Softwarebranche keine Seltenheit. Es tritt besonders dort auf, wo ein Branchenriese genügend Marktmacht hat, um sich auch gegen äußere Widerstände durchzusetzen. Andere Unternehmen folgen diesem Beispiel oft widerwillig, weil sie keine andere Wahl haben.
Wir sollten uns bewusst sein, dass es in der IT-Branche Unternehmen gibt, von denen ganze Staaten abhängig sind. Diese Unternehmen werden versuchen, ihre Vorstellungen durchzusetzen – ob uns das gefällt oder nicht.