Funkenstrahlen Podcasting, Netzpolitik, App-Entwicklung

Der Hype um Sicherheitslücken schadet mehr als das er hilft

Eine Sicherheitslücke ohne Logo, Name, Webseite und Twitteraccount findet kaum mehr Beachtung. Daher werden Sicherheitslücken mittlerweile beinahe professionell vermarktet.

Das Argument für den Hype: Es ist wichtig, dass möglichst viele Admins auf das Problem aufmerksam werden, um beim Release des Patches möglichst schnell zu reagieren. Das ist erstmal wichtig und richtig.

Es funktioniert aber nur am Anfang. Nach einiger Zeit nutzt sich das Getöse um Aufmerksamkeit für eine Sicherheitslücke ab. Das führt dazu, dass die Hypes um eine Sicherheitslücke versuchen jedes Mal noch ein wenig lauter zu werden.

Was wir brauche ist eine zentrale Anlaufstelle für Sicherheitslücken. Dort trägt man Software ein, die man nutzt und erhält rechtzeitig eine Nachricht, wenn es wichtig ist aktiv zu werden. Priorisierung ist dabei wichtig, da man auch hier schnell zu einer Überflutung an Nachrichten kommen kann.

Zum Teil existiert das ja schon, indem jede Lücke ein CVE erhält. Ein System, das mich automatisch passend zu meinem Setup informiert, habe ich aber noch nicht gefunden. Sollte es das doch schon geben, würde ich mich über einen Hinweis von euch freuen. Dann frage ich mich aber umso mehr, warum der Hype um bestimmte Sicherheitslücken überhaupt nötig ist.