"Security-Zirkus"

Linus Torvalds macht seinem Unmut Luft

19.08.2008
Von Katharina Friedmann
Der Mitentwickler des Linux-Kernels will vom Wirbel um Softwareschwachstellen und der Security-Gemeinde, die diese aufbausche, nichts mehr wissen.

"Warum ich mich weigere, mich länger mit dem ganzen Sicherheitszirkus zu beschäftigen? Weil er meiner Ansicht nach das falsche Verhalten glorifiziert und damit ermutigt." Mit dieser Äußerung hatte Linus Torvalds unlängst für Aufsehen in der IT-Branche gesorgt. Da würden Sicherheitsleute zu "Helden" gemacht - als ob diejenigen, die "nur" normale Bugs beheben, nicht ebenso wichtig wären, monierte der Linux-Erfinder in einem Online-Posting. Gegenüber der CW-Schwesterpublikation "Network World" führte Torvalds genauer aus, warum ihm die Sicherheitsexperten ein Dorn im Auge sind.

Allzu häufig spalte sich die Security-Szene in zwei Lager: Während die einen die Geheimhaltung von Problemen und der zugehörigen Details propagierten, bis der Bug gefixt ist, gefielen sich die anderen in der Preisgabe von Sicherheitslücken, die sie als einen weiteren Beleg für die Korrumpiertheit der Anbieter betrachteten - was meist auch zutreffe, stichelt Torvalds. Dabei sei der Mittelweg, sprich: die schnellstmögliche Behebung von Schwachstellen ohne viel Aufhebens in jedem Fall vorzuziehen. Seiner Ansicht nach gilt es, Fehler frühzeitig zu korrigieren, was ein gewisses Maß an Offenlegung gegenüber den Entwicklern erfordere. Keinesfalls aber sei es notwendig, das Ganze an die große Glocke zu hängen.

Updates oder Modifikationen an Linux in einem Advisory als Security-Fix auszuweisen, hält Torvalds für wenig zielführend. "Was hat man davon - außer Futter für die jeweiligen PR-Agenturen?" Ein solches Vorgehen fördere nur die falsche Denkweise und sei reine Ressourcenverschwendung.

Mit Skepsis betrachtet der Open-Source-Experte auch die synchronisierte Patch-Freigabe von Herstellern beziehungsweise die Idee, Schwachstellendetails unter Embargo zu stellen, bis ein Fix von einem Anbieter verfügbar ist. Das verhindere das Nachdenken über Veränderungen im Design, die Sicherheitsfehlern grundsätzlich entgegenwirken könnten. "Bei der ganzen Embargos-sind-gut-Mentalität handelt es sich um reine Korruption von Seiten der Anbieter", so Torvalds.

Andererseits sieht er auch in der Bug-Enthüllung nicht das Ziel. "Ich glaube weder an das eine noch an das andere." Vorzuziehen sei ein Konzept, das - "wie das Unix-Modell" - Sicherheit von vornherein vereinfache und es zudem erleichtere, Fehler ohne Embargo unter Ausschluss der Öffentlichkeit zu melden.