Träge Administratoren
Eine Studie hat sich mit der Frage beschäftigt, wie lange es dauert, bis ein (dringend notwendiges) Patch installiert wird.
Im Zusammenhang mit Sicherheitsproblemen wird häufig diskutiert, wie schnell ein Unternehmen ein Patch bereitstellen muss, oder wieviel Zeit der Entdecker einer Sicherheitslücke den Verantwortlichen gewähren sollte, bis er mit seinen Informationen an die Öffentlichkeit tritt. Der Amerikaner Eric Rescorla macht auf ein anderes, fast schon wichtigeres Problem aufmerksam: Selbst wenn Patches angeboten werden, lassen sich die meisten Administratoren zu viel Zeit mit der Installation.
Rescorla hat zum Nachweis dieser Behauptung einen Test durchgeführt. Er hatte Ende Juli, noch vor Veröffentlichung der Informationen über eine schwere Sicherheitslücke in OpenSSL einen Tip bekommen. Daraufhin sammelte er eine Stichprobe von 890 Servern, die OpenSSL verwenden.
Diese Stichprobe beobachtete er über einen Zeitraum von über zwei Monaten. Täglich überprüfte er, ob eine Aktualisierung der Software vorgenommen worden war, oder ob die Administratoren Patches installiert hatten. Interessanterweise tauchte nach anderthalb Monaten auch noch der Wurm Slapper auf, der eben diese OpenSSL-Lücke missbrauchte. Dieser Wurm erhöhte nicht nur die Notwendigkeit von Sicherheitsmaßnahmen. Er sorgte auch erneut für einen hohen Bekanntheitsgrad des Problems.
Seine Ergebnisse kann Rescorla im Zeitverlauf präsentieren. Nach etwa 40 Tagen, kurz vor dem ersten Erscheinen des Virus', waren noch fast 60 Prozent aller Rechner ungeschützt. Nach dem Bekanntwerden des Virus, über den in den einschlägigen Medien ausführlich berichtet wurde, stieg der Anteil der nicht mehr anfälligen System zwar nochmals. Doch auch nach über 70 Tagen waren noch über 30 Prozent der Rechner ungeschützt.
Dieses Ergebnis ist nicht besonders ermutigend. Zumal man gerade bei diesem Problem und bei der damit verbundenen Administratorengruppe eine schnellere Reaktion erwartet hätte. Immerhin handelte es sich ja um das schwerwiegende Problem einer Software, die gerade der Erhöhung der Sicherheit dient. Außerdem gehört die überwältigende Mehrheit der OpenSSL-Nutzer dem Unix/Linux-Lager an. Diese Personen haben nach Meinung von Rescorla eine größere Erfahrung in Sachen Server Administration, als Windows-Anwender.
Doch trotz aller Faktoren, die für eine rasche und umfassende Lösung des Problems gesprochen haben, zeigten sich die Administratoren eher träge. Und wenn diese Trägheit schon bei (Unix-) Adminstratoren so ausgeprägt ist, wie nachlässig mag da erst Otto Normal-User mit seinem Windows-Rechner umgehen?