Veröffentlichung von Schwachstellen für mehr IT-Sicherheit

Lesezeit: 4 Minuten Die NSA hat Mitte Januar eine schwerwiegende Sicherheitslücke gemeldet.

Lesezeit: 4 Minuten

Am 14.01.2020 hat der US-Geheimdienst National Security Agency (NSA) bekannt gegeben, eine schwere Sicherheitslücke in den Betriebssystemen Windows 10 und Windows Server 2016/2019 sowie bei Anwendungen, die für die Vertrauensfunktionalität auf Windows angewiesen sind, des Softwareunternehmens Microsoft entdeckt zu haben.[1] Die NSA hält die Schwachstelle für schwerwiegend; entsprechende Tools zur Ausnutzung dieses Fehlers seien wahrscheinlich in Kürze weit verbreitet. Daher empfiehlt die NSA dringend die umgehende Installation von entsprechenden Patches[2], welche von Microsoft zur Behebung veröffentlicht wurden[3] – als einzig derzeitig bekannte und effektivste Möglichkeit, der Gefährdung zu begegnen.

Interessant ist in diesem Zusammenhang, dass bereits seit 2014 von Google ein sogenanntes „Project Zero“ unterhalten wird,[4] im Rahmen dessen Google Sicherheitsanalysten – man könnte auch sagen „Sicherheitslücken jagende Hackerinnen und Hacker“[5] – beschäftigt, um sogenannte „‚zero-day‘ vulnerabilities“ aufzuspüren.

Bei sogenannten „‚zero-day‘ vulnerabilities“ handelt es sich um Software-Sicherheitslücken, die Softwareherstellern bekannt sind, für die aber (noch) keine Patches zur Verfügung stehen und daher möglicherweise von Cyberkriminellen genutzt werden können.[6] Die Folgen einer entsprechenden Ausnutzung einer Schwachstelle können ganz unterschiedlich und zum Teil schwerwiegend und weitreichend sein. Die Begrifflichkeit „zero-day“ weist auf die Neuheit der Entdeckungsnachricht (am sogenannten „day zero“) hin; da die Aufdeckung für den Hersteller neu ist, konnte noch kein entsprechender Patch, der die Schwachstelle ausbessert, zur Verfügung gestellt werden: Dem Hersteller bleiben „zero days“, die Schwachstelle, die ihm gerade aufgezeigt wurde, zu beheben.

Das „Project Zero“ soll einen Beitrag dazu leisten, die Sicherheit im Internet zu erhöhen und die Zahl von Geschädigten aufgrund von Internet-Angriffen zu senken.[7] Dazu werden entdeckte Sicherheitslücken an die betreffenden Hersteller kommuniziert und es wird gegebenenfalls gemeinsam mit diesen an einer baldigen Möglichkeit zur Schließung der Sicherheitslücke gearbeitet; die Suche erstreckt sich auf jedwede Software, nicht bloß auf solche im unmittelbaren Zusammenhang mit Google.

Mithilfe des Setzens von Veröffentlichungsfristen an die Softwarehersteller soll der Aufforderung zur Erarbeitung entsprechender Lösungen Nachdruck verliehen werden; es sei nicht akzeptabel, Menschen einem Risiko auszusetzen, indem die Behebung von Sicherheitslücken zu lange dauere oder einfach gar nicht angegangen werde, so Chris Evans, der für „Project Zero“ zuständige Sicherheitsingenieur von Google.[8]

Erst kürzlich wurden die überarbeiteten Veröffentlichungsrichtlinien des „Project Zero“ für eine zwölfmonatige Testphase im Jahr 2020 bekannt gemacht:[9] Standardmäßig gilt nun eine Veröffentlichungsfrist von 90 Tagen, auch wenn eine Problembehebung bereits früher stattfinden sollte. Dadurch soll neben der Beschleunigung der Sicherheitsmängelbeseitigung – dem bereits bisher hauptsächlich bestehenden Anliegen – das Bemühen um die sorgfältige Entwicklung einer Lösung (eines Patches) sowie eine Erhöhung der Zahl der Verwenderinnen und Verwender erreicht werden, die entsprechende Patches zur Schließung der Sicherheitslücke rechtzeitig installieren können.

Nachdem in der Vergangenheit Sicherheitslücken durch die NSA geheim gehalten und genutzt wurden, möchte auch sie nun zukünftig im Rahmen einer neuen Initiative gefundene Schwachstellen schneller und öfter teilen.[10] Dadurch soll Vertrauen aufgebaut und demonstriert werden, dass das Schließen von Sicherheitslücken oberste Priorität habe.

In welchem Umfang in kommender Zeit Schwachstellen insbesondere durch die NSA veröffentlicht werden, bleibt abzuwarten. Solche Initiativen, wie die der NSA beziehungsweise des „Project Zeros“ von Google, die den Herstellern und Entwicklern die Möglichkeit zur Ausbesserung von Sicherheitslücken geben, können jedoch der IT-Sicherheit aller dienen.

Im Großen und Ganzen kann man diesen „‚zero-day‘ vulnerabilities“ mit proaktiven Maßnahmen – wie beispielsweise dem Verwenden geeigneter Sicherheitssoftware, dem Vornehmen entsprechender Sicherheitseinstellungen und dem vorsichtigen und umsichtigen Umgang mit dem Internet – sowie reaktiven Maßnahmen – insbesondere durch das Installieren von Patches und dem regelmäßigen Durchführen von Softwareupdates – begegnen.[11]

Die vorgestellten Veröffentlichungsinitiativen möchten durch ihre Arbeit dazu beitragen, eben diese reaktiven Maßnahmen noch schneller vornehmen zu können. Um als Individuum allerdings konkret von den Entdeckungen profitieren zu können, bedarf es der „Mitarbeit“ der Verwenderinnen und Verwender entsprechender Systeme. Die Sicherheit der Endnutzerinnen und -nutzer wird nicht schon durch die Entdeckung und die Behebung einer Sicherheitslücke verbessert, sondern erst wenn die Endnutzerinnen und -nutzer von dieser Kenntnis erlangen und – typischerweise – entsprechende Patches installieren, so Tim Willis vom „Project Zero“.[12]

Profitieren Sie daher von diesen Initiativen, von den Veröffentlichungen der NSA oder des „Project Zero“, und halten Sie Ihre Systeme durch das Installieren von Updates und Patches auf dem aktuellsten Stand!


[1] National Security Agency, Cybersecurity Advisory, Patch Cricital Cryptographic Vulnerability in Microsoft Windows Clients and Servers, 14.01.2020, zuletzt abgerufen am: 17.01.2020, dort auch zum Folgenden.

[2] Ein Patch ist ein Softwareprogramm zur Behebung eines Fehlers in einem Programm (Duden, Patch, duden.de, zuletzt abgerufen am: 17.01.2020).

[3] Für eine Auflistung siehe Microsoft, CVE-2020-0601 | Windows CryptoAPI Spoofing Vulnerability, zuletzt abgerufen am: 17.01.2020.

[4] Evans, Announcing Project Zero, 15.07.2014, zuletzt abgerufen am: 17.01.2020, dort auch zum Folgenden.

[5] Vgl. den Titel von Greenberg, Meet ‚Project Zero‘, Googles Secret Team of Bug-Hunting Hackers, wired.com, 15.07.2014, zuletzt abgerufen am: 17.01.2020.

[6] Norton LifeLock employee, Zero-day vulnerability: What it is, and how it works, zuletzt abgerufen am: 17.01.2020, dort auch zum Folgenden.

[7] Evans 2014 (vgl. Fn. 4), dort auch zum Folgenden.

[8] Greenberg, wired.com, 15.07.2014 (vgl. Fn. 5).

[9] Willis, Policy and Disclosure: 2020 Edition, 07.01.2020, zuletzt abgerufen am: 17.01.2020, dort auch zum Folgenden. Für einen Kurzüberblick siehe Born, 90 Tage ohne Ausnahmen: Googles Project Zero ändert Offenlegungsrichtlinie, heise.de, 09.01.2020, zuletzt abgerufen am: 17.01.2020.

[10] Schirrmacher, NSA meldet Windows-Lücke – anstatt sie auszunutzen, heise.de, 15.01.2020, zuletzt abgerufen am: 17.01.2020 sowie Newman, Windows 10 Has a Security Flaw So Severe the NSA Disclosed it, wired.com, 14.01.2020, zuletzt abgerufen am: 17.01.2020.

[11] Norton LifeLock employee (vgl. Fn. 11).

[12] Willis 2020 (vgl. Fn. 9).

Schreiben Sie einen Kommentar