Verantwortungsbewusster Umgang mit Sicherheitslücken


Das sich stetig verändernde Ökosystem, in dem Technologien bereitgestellt werden, ist einer der Gründe, die die Softwarebranche so spannend machen. In einer immer komplexer werdenden digitalen Welt ist es jedoch umso wichtiger, Anwender vor Cyberattacken zu schützen. Denn immer wieder wird versucht, Devices und Services zu attackieren, auf die wir jeden Tag vertrauen.


Unsere Philosophie: Kräftebündelung gegen Cyberattacken

Damit Onlinedienste, Softwareprodukte und Hardwaregeräte auch künftig unser Leben positiv beeinflussen, haben wir eine umfangreiche Sicherheitsstrategie entwickelt. Microsoft setzt hierbei auf das Konzept der „Coordinated Vulnerability Disclosure“ (CVD). Angesichts von Bedrohungen in Form unterschiedlichster Phishing-Angriffe, Betrug durch Ausspähen persönlicher Daten oder hochentwickelte kriminelle Attacken erarbeitet Microsoft als Softwarehersteller in Kooperation mit Sicherheitsexperten Strategien für einen gemeinsamen, verantwortungsvollen Umgang mit Sicherheitslücken und deren Behebung. Wir sind der Meinung, dass nur Kooperation und Informationsaustausch Kunden den bestmöglichen Schutz bieten.

Durch den Austausch mit Sicherheitsexperten vor der Bekanntmachung einer Sicherheitslücke profitieren die Kunden am meisten. Denn ist eine Schwachstelle bereits bekannt während an einer Lösung gearbeitet wird, ist dies ein ideales Einfallstor für Angreifer und verursacht zugleich bei dem Anwender große Unsicherheit. So wird eine Lücke erst durch die Bereitstellung eines entsprechenden Softwareupdates durch den Hersteller erfolgreich geschlossen.

Erfolgreiche Schadensbegrenzung durch Kooperation

Dass unser Prinzip der kooperativen Zusammenarbeit Erfolg hat, belegen unsere Untersuchungen. Sicherheitslücken, die koordiniert publik gemacht wurden, sind vor der Bereitstellung eines Sicherheitsupdates nicht für Cyberattacken ausgenutzt worden. Bei sofort öffentlich gemachten Sicherheitslücken ist die Erfolgsbilanz oft nicht so positiv. Daher liegt die Empfehlung von Microsoft klar in der Zusammenarbeit mit Sicherheitsexperten, um zeitnah in Kooperation ein Update zu entwickeln, dass die Sicherheit der Anwender gewährleistet. Nur so ist es möglich, die potenziellen Gefahren der Lücke einzuschätzen und eine Lösung für das Problem zeitnah bereitzustellen, ohne dass die Schwäche von Angreifern ausgenutzt werden kann.

Nur in Ausnahmesituationen, beispielsweise wenn die technischen Einzelheiten bereits veröffentlicht wurden, wenn Nachweise für einen Missbrauch einer noch nicht gepatchten Sicherheitslücke vorliegen oder der Hersteller nicht auf Anfragen reagiert, empfiehlt Microsoft die Veröffentlichung einer Sicherheitswarnung bevor ein entsprechendes Update bereitgestellt ist. Ausführliche Details zu den CVD-Richtlinien hat Microsoft unter microsoft.com/cvd veröffentlicht.

Weitere Informationen zu Microsofts Umgang mit Sicherheitslücken finden Sie im Blogpost von Chris Betz.

 


Ein Beitrag von Irene Nadler (@irenenadler)

Communications Manager Devices and Services bei Microsoft Deutschland

– – – –

Über die Autorin

Irene Nadler arbeitet bei Microsoft im Bereich Presse und Öffentlichkeitsarbeit und betreut die Themen Windows, Surface und Windows Phone. Mit Windows ist sie schon seit Windows 95 gut bekannt. In ihrer Freizeit stehen Kultur und Fußball ganz oben auf der Liste.

 

 

Comments (0)

Skip to main content