Erste Hilfe bei Sicherheitslecks

Drei rote Punkte, davor steht „critical“. Lukas Braune vom Vilocify -Team bei Siemens runzelt die Stirn. In einer Software-Komponente eines bekannten Anbieters von Datenbanken wurde soeben eine Sicherheitslücke entdeckt. Braunes Team hat dazu eine Warnmeldung geschrieben, eine so genannte Notification, die unmittelbar an die Abonnenten von Vilocify verteilt wird. In der Meldung steht, warum die Lücke sicherheitskritisch ist und wie man sie beheben kann. „So können unsere Kunden das Sicherheitsupdate installieren, bevor Angreifer auf die Lücke stoßen und Schaden anrichten können“, so Braune.

Das Vilocify-Team durchkämmt täglich unzählige Informationsquellen wie Mailinglisten, Feeds oder Foren, immer auf der Suche nach Sicherheitslücken, die von unzähligen Herstellern von Software und Hardware veröffentlicht werden. Die Analysten erstellen zu jeder Lücke eine Notification, die in knappen Worten beschreibt, worum es sich bei der Lücke handelt, welche Gefahr droht und wie man die Lücke schließen kann, etwa mit einem Update. Zigtausende Notifications kommen so pro Jahr zusammen. Kein Entwickler könnte alle diese Lücken selbst verfolgen, er käme gar nicht mehr zu seiner eigentlichen Arbeit.

Deshalb buchen immer mehr Firmen den Service – von kleinen und mittelgroßen Unternehmen (KMU) bis hin zu Großkonzernen. Größter Kunde ist allerdings Siemens selbst – mehr als 20.000 Entwickler, Sicherheitsverantwortliche und IT-Administratoren sind an die Plattform angeschlossen, auch die von Siemens Healthineers. „Unsere Kunden haben es mit hochsensiblen Daten und teilweise lebenswichtigen klinischen Abläufen zu tun, die das höchste Maß an Schutz verdienen“, sagt Dr. Hans-Martin von Stockhausen, Cybersecurity Officer bei Siemens Healthineers. „Vilocify hilft uns hier, zeitnah von Sicherheitslücken zu erfahren und diese zu bewerten.“

Ein großer Vorteil von Vilocify ist, dass Lücken, die zusammengehören, sinnvoll zusammengefasst werden, etwa für Webbrowser wie Chrome. Vermeintliche Lücken, die sich als Irrtum herausstellen oder längst geschlossen sind, werden zudem herausgefiltert.

Statt unter einem Berg an Notifications begraben zu werden, haben es die Nutzer damit einfacher, auf die wirklich relevanten Notifications zu reagieren. „Die große Stärke von Vilocify ist die redaktionelle Pflege des Komponentenkatalogs“, betont Braune. So beobachtet sein Team tausende Software-Komponenten und meldet, wenn das Ende des Supports erreicht ist, wichtig etwa für ältere Versionen von Windows, die in vielen Geräten stecken wie zum Beispiel Geldautomaten.

Derzeit umfasst der Katalog gut 100.000 Einträge zu Software- und Hardware-Komponenten  und täglich kommen neue dazu. Fehlt ein Eintrag, kann der Kunde diese Komponente anfragen und sie wird dann vom Vilocify-Team binnen kurzer Zeit hinzugefügt. Manche Einträge dürften auch Laien bekannt vorkommen, etwa die Firmware in der Version 7.21, die der deutsche Hersteller AVM gerade für seine FRITZ!Box-Router veröffentlicht hat und für die es ein aktuelles Sicherheitsupdate gibt. Und natürlich etliche Einträge zu diversen Versionen von Windows.

Doch das ist nur die Spitze des Eisbergs. Den Löwenanteil der Einträge stellen so genannte Bibliotheken, die spezielle Softwarefunktionen bereitstellen. Die finden sich in unzähligen Produkten, von denen man es gar nicht erwartet, zum Beispiel in Haushaltsgeräten. Stößt ein Hacker auf eine Sicherheitslücke in so einer Bibliothek, kann er diese Geräte im schlimmsten Fall manipulieren. Mit Vilocify erhalten Entwickler tagesaktuell die neuesten Notifications und können die Lücke in ihren Produkten schließen, bevor Kriminelle aktiv werden.

Bernd Müller