31.07.2003

SICHERHEIT

Lücken werden erst spät geschlossen

Nahezu täglich werden neue Schwachstellen in Software entdeckt.

Doch obwohl meist binnen kurzer Zeit ein entsprechender Patch bereit gestellt wird, dauert es oft Monate bis diese Security-Fixes von den Administratoren auch eingespielt werden.

Dies geht aus einer neue Studie des Security-Unternehmens Qualys hervor. Die Appelle von Sicherheitsexperten und Behörden werden demnach kaum erhört.

Desto schwerwiegender die Schwachstellen, desto schneller werden die Systeme zwar mit den aktuellen Updates versehen, doch über die Hälfte der betroffenen Systeme sind laut Qualys auch 30 Tage nach der Veröffentlichung der Patches noch ungeschützt.

Bei Sicherheitslücken, die als weniger kritisch angesehen werden, dauert dieser Prozess in 80 Prozent der Fälle gar über 60 Tage.

Zudem installieren viele Unternehmen weiterhin ältere Software auf ihren Systemen, ohne sie gleichzeitig zu aktualisieren.

Die Vielzahl der ungepatchten Systeme führt weiters dazu, dass altbekannte Bedrohungen wie Code Red oder der Slammer-Wurm immer wieder ein Revival erleben können, erklärt Gerhard Eschelbeck, technischer Leiter bei Qualys.

Einführung einer Haftung überlegt

Die Studie unterstreicht den Bedarf nach erhöhter Sicherheit schon während der Entwicklung der Software.

Einige Experten vertreten die Meinung, Software könnte wesentlich zuverlässiger sein, würden die Hersteller das nur wollen.

Viele glauben weiters, dass eine Haftung für Bugs seitens der Hersteller das beschleunigen könnte.

Doch eine Einführung dieser Haftung könnte Innovationen bremsen und die Preise für Softwareprodukte in die Höhe treiben.

Überlegt wird daher, die Haftung nur bei Verschweigen des Bug an die Konsumenten und bei festgelegten Schadenshöhen greifen zu lassen.