Informationen teilen, IT-Sicherheit erhöhen
Greg Day von Palo Alto Networks zum Informationsaustausch zwischen Unternehmen und IT-Firmen bei Sicherheitslücken
Fast täglich tauchen in den Medien Artikel und Nachrichten über Sicherheitslücken von Betriebssystemen, Apps und anderer Software auf. Meist sind es IT-Sicherheitsunternehmen, welche die Schwachstellen entdecken, untersuchen und veröffentlichen. Wie dabei vorgegangen wird und warum Informationen selbst unter Wettbewerbern geteilt werden, das erklärt Greg Day, VP & CSO, EMEA bei Palo Alto Networks.
„Grundsätzlich ist zu sagen, dass wir es für angebracht halten, das Unternehmen zu informieren, dessen Software eine Sicherheitslücke aufweist. Unser Ziel ist es, dem Unternehmen die Chance zu geben entsprechend zu reagieren und dann gemeinsam Informationen über das entdeckte Leck in einer gemeinsamen Mitteilung zu kommunizieren. Darin teilen wir dann mit, was wir entdeckt haben und wie sich Anwender schützen können. Der Hersteller wiederum nutzt die Gelegenheit um seine Gegenmaßnahmen anzukündigen und den Anwendern ebenfalls Hinweise zur Risikominimierung zu geben.
Das Timing spielt dabei eine ganz wichtige Rolle, und es muss zwischen den Beteiligten abgesprochen werden, denn die Wirkung der Veröffentlichung hängt stark vom Timing ab. Oft ist dabei natürlich Eile geboten.
Sollten der Hersteller der betroffenen Software jedoch kein Interesse daran zeigen sich bei der Veröffentlichung einzubringen, dann liegt es alleine an den IT-Sicherheitsexperten wie sie mit dem Thema umgehen. Dies setzt voraus, dass der Hersteller glaubhaft versichert sich nicht beteiligen zu wollen und dass zudem davon auszugehen ist, dass die Veröffentlichung der Information für ein Plus an Sicherheit sorgt. Es ist natürlich ein Balanceakt zwischen dem Mobilisieren und Motivieren von Hackern, die sich über die Schwachstelle informieren können, und der Öffentlichkeit, die Schutzmaßnahmen ergreifen kann.
Dass Informationen über IT-Sicherheitslücken kostenfrei mit Anderen geteilt werden sollten, das ist aus meiner Sicht eine Selbstverständlichkeit. Wir unterstützen auf breiter Front das Teilen solcher Informationen auch mit anderen IT-Sicherheitsfirmen. Palo Alto Networks ist ein Gründungsmitglied der Cyber Threat Alliance, die sich dem automatischen Teilen derartiger Informationen verschrieben hat.
Es ist definitiv im Interesse der Gesellschaft, dass wir unser Wissen mit Organisationen teilen, die helfen können den möglichen Schaden für die Gemeinschaft einzudämmen. In der traditionellen Sichtweise würde man es wohl als Wettbewerbsvorteil bewerten, wenn man Informationen über Schwachstellen und Bedrohung hat, über die andere IT-Sicherheitsanbieter nicht verfügen. Dies ist aber nur die halbe Wahrheit, denn die wahre Kunst liegt ja vor allem darin eine eigene Lösung für das Problem zu erarbeiten, die in der jeweiligen IT-Sicherheitssoftware umgesetzt werden kann.
Wir sind der Meinung, dass man an sich nur den Kriminellen hilft, wenn man Erkenntnisse über Schwachstellen nicht mit anderen Unternehmen teilt. Vielmehr müssen die IT-Sicherheitsanbieter noch wesentlich effizienter zusammenarbeiten um ihre Ziele zu erreichen, denn: die Cyberkriminellen arbeiten bereits oft hochprofessionell und vernetzt zusammen.“