138376

Soll man Sicherheitswarnungen ernst nehmen?

22.09.2009 | 09:38 Uhr |

Sicherheitsmeldungen/Advisories sind ein fester Bestandteil des IT-Alltags. Doch kann man den Warnungen immer vertrauen? Wie entstehen die Advisories, von wem stammen die Warnungen? Wir erklären, wie eine Sicherheitswarnung entsteht und wie sie zu verstehen ist.

„Kritische Lücke in Produkt XY gefunden“ so oder so ähnlich kann man es beinahe täglich auf Sicherheits-Websites und in Mailinglisten lesen. Diese Warnungen verbreiten sich oft schlagartig im Internet. Kann man ihnen trauen oder befinden sich Übertreibungen oder sogar Falschmeldungen unter diesen Sicherheitswarnungen? Dieser Frage ging unsere Schwesterpublikation tecchannel.de nach.

Stein des Anstoßes war diese Sicherheitsmeldung , mit der der Sicherheitsanbieter Secunia vor einer Schwachstelle in einem Online-Shop-System warnte. Secunia zufolge war es möglich, SQL-Datenbank-Befehle in das System einzuschleusen und es damit zu manipulieren. „Stimmt nicht“, widersprach der Shop-Hersteller ein halbes Jahr später. Diese Lücke habe es ihm zufolge gar nicht gegeben.

Zieht man Google zur weiteren Recherche hinzu, so findet man die Warnung vor dieser Sicherheits-Lücke auf vielen anderen renommierten Websites. Etwa bei F-Secure , Juniper oder der IBM X-Force auf – alles voneinander unabhängige Quellen, wie es auf den ersten Blick scheint.

Doch dieses "erste" Urteil gerät ins Wanken, wenn man sich die Warnungen genauer anschaut. Sie ähneln einander sehr. Der Wortlaut der Meldungen ist teilweise identisch. Ein Blick auf die Quellenangabe verrät den Grund: Es handelt sich meist nicht um selbst recherchierte Sicherheitslücken, sondern alle Warnungen berufen sich auf einen einzigen Entdecker, vor allem Secunia wird häufig hierbei als Quelle genannt.

Es sei also gängige Praxis, dass auch große bekannte Sicherheitsseiten Warnungen von anderen Diensten übernehmen – oft ohne diese selbst noch einmal zu prüfen! Nur wenige Websites verfügen über ausreichend Personal mit dem nötigen Know-how, um solche Sicherheitslücken selbst überprüfen zu können.

0 Kommentare zu diesem Artikel
138376