c't 21/2019
S. 142
Hintergrund
Disclosure: Offenlegung von Sicherheitslücken
Aufmacherbild

Aufgedeckt

Vom Umgang mit Sicherheitslücken – und warum uns Geheimhaltung nicht weiter bringt

Wer früher eine Sicherheitslücke aufdeckte, konnte schon dafür in den Knast wandern. Heute kann man damit ganz legal Millionen verdienen und Firmen machen Jagd auf gute Hacker – nicht um sie zu verhaften, sondern um sie einzustellen. Da hat sich in den letzten dreißig Jahren so einiges geändert.

Was macht man eigentlich, wenn man eine gravierende Sicherheitslücke in einem von vielen Menschen genutzten Programm oder Gerät entdeckt? Der ganzen Welt davon zu erzählen, scheint da im ersten Moment eine denkbar schlechte Idee. Schließlich warten Cyber-Kriminelle doch nur auf solche Gelegenheiten. Trotzdem ist das in bestimmten Situationen sehr sinnvoll.

Um die heute übliche Vorgehensweise beim Umgang mit Sicherheitslücken besser zu verstehen, lohnt ein kleiner Abstecher in die Geschichte der Security. Die Rede ist vom finsteren Mittelalter der Computerei, das bis in die 90er-Jahre reichte. Damals war IT-Security eine arkane Geheimwissenschaft, die nur erleuchtete Magier beherrschten. Die tauschten sich in weitgehend geschlossenen Communitys aus; öffentliche Informationen zum Thema gab es kaum.

Kommentieren