Experten fordern mehr Umsicht bei Zero-Day-Bugs
Software-Lücken bleiben oft ein Jahr ungesichert
Die Angebote, mit denen Entdecker von Sicherheitslecks gelockt werden, sind meist nicht von schlechten Eltern. "Es werden enorme Geldsummen gezahlt", berichtet Justine Aithel, CEO von Immunity. Allerdings sind die finanziellen Angebote von der kriminellen Seite meist genauso gut, wenn nicht besser.
Erst vor kurzem startete die Online-Plattform Wabisabilabi, auf der Schad-Codes per Aktion verkauft werden. Sicherheitsexperten kritisieren diese Methode. Sie sei unverantwortlich, man wisse nicht, in welche Hände Exploits kommen.
Alles hat Löcher
Grundsätzlich rät Immunity Sicherheitsverantwortlichen zu mehr Aufmerksamkeit bei der Anfälligkeit des eigenen Systems. Es gelte: Man muss stets davon ausgehen, dass alles Löcher hat. IT-Systeme sollten deshalb laufend mit Disziplin auf Zero-Day-Fehler durchstöbert werden.
Für diese Aufgabe müssen Security-Manager in jedem Fall die Unterstützung ihrer CEOs gewinnen, rät Aithel. Weiter sei es notwendig, mit der internen Rechtsabteilung zusammenzuarbeiten, um Verstöße gegen bestehende Lizenzvereinbarungen zu vermeiden. Diese könnten ansonsten bei der Untersuchung der jeweiligen Software auf Zero-Day-Lücken im Wege stehen.