Editorial
Bug-Jäger als Kriminelle
Artikel erschienen in Swiss IT Magazine 2005/07
Artikel erschienen in Swiss IT Magazine 2005/07
Selten benötigt und wenig beliebt wagen sie sich mit Schutzanzug und Giftspritze bekleidet überall dorthin, wo für die meisten normalen Menschen nur das nackte Grauen lauert: Kammerjäger. Trotzdem würde wohl niemand auf die Idee kommen, sie von der Arbeit abzuhalten. Anders sieht man das anscheinend beim Datenbankhersteller Sybase. Dort tut man nämlich momentan alles, um Details über Sicherheitslücken in der Adaptive-Server-Enterprise-Datenbank unter dem Deckel zu halten.
So hat Sybase am 21. März dem Sicherheitsspezialisten NGS Security Research unter Androhung rechtlicher Schritte untersagt, Details über mehrere kritische Fehler im Adaptive Server Enterprise zu publizieren. Begründung: NGS Security Research, die allein im letzten Jahr 14 Bugreports an Sybase gesendet hat, würde mit der Veröffentlichung gegen die Lizenzbedingungen verstossen, und ausserdem sei eine Publikation nicht im Interesse der Kunden. Dies, obwohl sich NGS Security Research vorbildlich verhalten und – wie immer – drei Monate nach Erscheinen eines Patches mit dem Advisory zugewartet hat, um den Anwendern genug Zeit zum Flicken zu geben.
Angesichts dieser Tatsachen ist bestenfalls fragwürdig, die Sicherheitsfirma zu bedrohen und der Öffentlichkeit die Informationen vorzuenthalten. Heutzutage gibt es keine Software mehr ohne Fehler, und nur mit einer sorgfältigen Analyse und Diskussion können diese in Zukunft vermieden werden. Auch ist es Administratoren nur mit Hilfe der Exploit-Beschreibungen möglich, die eigenen Systeme zu testen und zu überprüfen, ob nicht bereits ein Angriff erfolgreich war. Last but not least sorgt die Drohung an die Adresse von Sicherheitsfirmen dafür, dass diese über kurz oder lang aufhören, nach Löchern zu forschen, weil ihnen das Risiko zu gross ist. Die Folge: Künftig wird nur noch im Untergrund nach Fehlern gesucht. Ob dann aber die Softwarehersteller die ersten sind, die über die Fundstücke unterrichtet werden, darf ernsthaft bezweifelt werden.
Kurzum: Das Verhalten von Sybase ist dumm, kurzsichtig und kundenfeindlich. Doch leider ist Sybase kein Einzelfall: In Frankreich wurde ein Student gar zu einer Geldstrafe von 5000 Euro verurteilt, weil er ein Sicherheitsloch in einer Anti-Virus-Software gefunden hat. Dies lässt befürchten, dass das Verhalten von Sybase Schule macht, und mit der Etablierung von Gesetzen wie dem Digital Millennium Copyright Act wird diesem fragwürdigen Verhalten sogar noch Vorschub geleistet.
Andreas Ahlenstorf, Redaktor
aahlenstorf@compress.ch
Artikel kommentieren
