Sicherheitsexperte: Stopfen von Sicherheitslücken ist sinnlos

25.04.2022

Patches würden Unternehmen und Kund*innen ein falsches Gefühl von Sicherheit für unsichere Software geben.

Dieser Artikel ist älter als ein Jahr!

Dave Aitel hat zu einem Rundumschlag gegen die Software-Industrie ausgeholt. Bei einer IT-Sicherheitskonferenz vertrat er in einer Diskussion den Standpunkt, dass Sicherheits-Patches für Software sinnlos sind, berichtet iTWire.

Aitel ist ein früherer Computerwissenschafter des US-Geheimdienstes NSA und hat viele Jahre eine eigene Sicherheitsfirma betrieben. Ihm zufolge haben IT-Sicherheitsunternehmen und große Technologiefirmen die Menschen jahrelang eingelullt. Durch die ständigen und häufigen Patches würde ein Gefühl von Sicherheit vermittelt, wobei genau das Gegenteil der Fall sei. Wenn die Software sicher wäre, bräuchte man keine Sicherheits-Patches.

Patches mit Orangensaft verglichen

Aitel vergleicht das mit Orangensaft zum Frühstück. Jahrzehntelang wurde behauptet, dass Orangensaft der gesündeste Teil des Frühstücks sei. Später habe man aber gemerkt, dass Orangensaft sehr viel Zucker enthalte und zu Übergewicht beitrage. Trotzdem gehöre für viele Amerikaner der Orangensaft immer noch zum „gesunden“ Frühstück – genauso wie das wöchentliche Patchen von Software zu einem sicheren Gerät beitragen soll.

Aitel kritisiert, dass das Patchen von bekannten Sicherheitslücken eine Art Beten und Hoffen sei, dass nichts Schlimmeres passiere. Stattdessen sollte die fehlerhafte Software ersetzt oder von Grund auf überarbeitet werden. In seiner Kritik spricht er direkt Microsoft an, das ihm zufolge zu wenig unternimmt, um die Probleme von Software mit schlechter Qualität zu reduzieren.

Linux ebenfalls problematisch, ChromeOS besser als Windows

Auch die im Web weitverbreitete Skriptsprache PHP wird von Aitel wegen zahlreicher Sicherheitsprobleme kritisiert. Linux sei auch problematisch. Aitel merkt an, dass der größte Beitrag zum Linux-Kernel von Huawei kommt, das seit Jahren auf der schwarzen Liste der USA steht, wegen angeblicher Industriespionage für die chinesische Regierung.

Lob gibt es für ChromeOS, dem Betriebssystem von Google. Aitel empfiehlt Chromebooks statt Windows-PCs zu verwenden.

Aitel ist der Meinung, dass die Regierung eingreifen müsse, um das Sicherheitslücken-Management zu übernehmen. Denn ihm zufolge sei keine Gruppe oder Organisation mächtig genug, um gegen die Lobby der großen Softwarehersteller und IT-Security-Firmen vorzugehen.