Testen!

Türchen Nr. 7

December 7, 2020

Sicherheitslücken bzw. sicherheitsrelevante Fehler sind sicherlich keine schöne Angelegenheit, dennoch sind sie regelmäßig vorhanden und können auch nicht vollständig vermieden werden, weil Menschen Fehler machen oder Prozesse Fehler aufweisen. Um mit diesem Thema souverän umgehen zu können, lohnt es sich, den einen oder anderen Fachbegriff zu kennen und zu wissen, was sich dahinter verbirgt.

17
Adventskalender 2020

Sicherheitslücken werden in drei Phasen gegliedert. Können Sie diese Phasen benennen?

  1. 1, 2, oder 3

    Netter Versuch. 1, 2 oder 3 ist jedoch eine Quizshow für Kinder im deutschen Fernsehen.

  2. Blaue Pille, rote Pille

    Leider nein. Das ist die Auswahl, die Morpheus Neo, dem Auserwählten, im Film-Klassiker Matrix anbot.

  3. Black, grey and white risk

    Richtig! Die Phasen unterscheiden sich wie folgt:

     

    Black Risk (Phase des größten Risikos):

    Eine Sicherheitslücke ist nur einer/einem Spezialist:in bekannt. Manchmal wird der Softwarehersteller über die Lücke informiert oder die Lücke öffentlich gemacht. Oft werden unveröffentlichte Sicherheitslücken gegen Entgelt an damit handelnde Unternehmen angeboten oder auch direkt an Nachrichtendienste. Meist liefert diese:r Spezialist:in einen Angriff, der diese Sicherheitslücke ausnutzt (Exploit) mit – als Beweis seiner Entdeckung; Exploits werden (unberechtigt, missbräuchlich) genutzt. Angriffe, die unveröffentlichte Sicherheitslücken ausnutzen, sind grundsätzlich nicht erkennbar (stealth).

    Grey Risk (Phase mittleren Risikos):

    Der Hersteller kennt nun die Sicherheitslücke, veröffentlicht sie jedoch nicht. Bei der Grey Risk Phase ist der Personenkreis der Mitwissenden sehr viel größer als bei der Black Risk Phase. Die Sicherheitslücke kann in dieser Phase gegen Entgelt auf dem ‚Markt‘ angeboten werden.

    White Risk (Phase hohen Risikos):

    Die Sicherheitslücke wird zu einem bestimmten Zeitpunkt (Zero-Day) von einer/einem Mitwissenden veröffentlicht. Wenn nicht zeitnah auch ein Exploit
    veröffentlicht wird, wird ein solcher meist von Dritten für Angriffszwecke entwickelt. Aus Wirtschaftlichkeitsgründen werden von den Herstellern nicht alle Sicherheitslücken (zeitnah) gepatcht; so sind einige veröffentlichte Sicherheitslücken seit mehreren Jahren ungepatcht.

     

    „Open Source schließt Sicherheitslücken schneller: Die Zeit zwischen Veröffentlichung einer Sicherheitslücke und Behebung durch den Hersteller ist eine Zeit sehr hoher Gefährdung. Open Source Programme bieten den Vorteil, dass beim Schließen von
    Sicherheitslücken nicht auf den Hersteller gewartet werden muss.“ (Quelle: Digitale Souveränität, Friedrichsen u. Bisa)