Die Debatte zur Offenlegung von Sicherheitsmaßnahmen erhöht sich
Der Konflikt in Bezug auf Offenlegung im Mittelpunkt zweier wichtiger Ereignisse in den Nachrichten wirft Licht auf ein Problem, das viele Cybersecurity-Experten schon seit Jahren plagt.
Verständlicherweise sind viele Unternehmen nicht freiwillig bereit, Informationen bekanntzugeben, die gegen sie verwendet werden könnten – entweder von Cyberkriminellen oder einer Aufsichtsbehörde, die Bußgelder verhängen könnte. Der daraus resultierende Konflikt entsteht, wenn diese Informationen möglicherweise negative Auswirkungen auf ein anderes Unternehmen haben könnten.
So wurde beispielsweise eine Whistleblower-Beschwerde des ehemaligen Leiters der Cybersecurity für Twitter bei der Security Exchange Commission (SEC) eingereicht, weil die Anleger des Unternehmens ein Recht darauf haben zu erfahren, welches Risiko ein Unternehmen eingeht, dessen Aktien sie über die Börse gekauft haben. Cybersecurity-Experten haben mehr Einblick in Sicherheitslücken, daher ging es bei der moralischen Debatte immer darum, inwieweit sie verpflichtet sind, ihre Bedenken mitzuteilen, unabhängig davon, was die Geschäftsleitung bevorzugen würde.
Das Problem der Offenlegung ist nicht auf die Rechte der Investoren beschränkt. Ein Verstoß bei LastPass, einem Anbieter einer weit verbreiteten Passwortverwaltungsplattform, hat zu Bedenken darüber geführt, welche Konsequenzen ein gestohlener Programmcode für Organisationen haben könnte, die die Plattform eingeführt haben. Es wird gefordert, dass mehr Details an Dritte weitergegeben werden sollten, die diesen Organisationen die Zusicherung geben würden, dass Exploits, von denen die Integrität der Passwort-Manager-Plattform des Unternehmens kompromittiert werden könnte, nicht erstellt werden können oder dass der Code in einer Weise geändert oder modifiziert wurde, die jeden potenziellen Exploit unschädlich macht.
Wie auch andere Anbieter von Software, die als kritische Infrastruktur angesehen werden könnte, ist LastPass nicht verpflichtet, weitere Informationen offenzulegen. Es gibt jedoch zahlreiche Alternativen, daher ist es für die Kunden wenig vertrauenerweckend, wenn diese Offenlegungen zurückgehalten werden.
Offensichtlich stellt das eine schwierige Situation für alle Beteiligten dar. Die meisten Cybersecurity-Experten gehen vom Schlimmsten aus und handeln entsprechend. Dementsprechend werden die Anbieter kritischer Infrastruktur-Plattformen fast immer unter Druck gesetzt, letztlich viel mehr offenzulegen, als sie ursprünglich für wünschenswert oder sogar klug gehalten hatten.
Im Idealfall sollte es natürlich Standardprotokolle für die Offenlegung von Verstößen geben, die auf dem Schweregrad basieren. Nicht jeder Vorfall könnte zum Beispiel gestohlenen Code beinhalten, der zurückentwickelt werden kann, um einen Exploit zu erstellen. Die Opfer eines Verstoßes sind jedoch nicht unparteiisch, wenn Sie potenzielle Code-Schwachstellen beurteilen. Eine Bewertung durch eine dritte Partei ist die einzige Möglichkeit, verbleibende Zweifel zu überwinden. Selbst dann wird es immer wieder Leute geben, die sich fragen, welche Exploits in den Händen von Cyberkriminellen sein könnten, die im Auftrag eines Nationalstaates handeln, der über eine Menge Softwareentwicklungsressourcen verfügt.
Cybersecurity-Experten wissen, dass es niemals so etwas wie perfekte Security geben wird. Das Beste, was jemals erreicht werden kann, ist ein vertretbarer Risikograd. Jedes Unternehmen muss natürlich für sich selbst entscheiden, welches Risiko akzeptabel ist. Eines steht indessen fest, nämlich dass es zu mehr Verstößen gegen zentrale IT-Plattformen kommen wird. Wie die Anbieter solcher Plattformen mit diesen Security-Verstößen umgehen, hat viel mit Charakter zu tun, wie es bei jedem Vertrag der Fall ist.
