Sicherheitslücke

Kurz schon mal angerissen:

Im März 2021 gab es im MS-Exchange Probleme, die als sogenannte Zero-Day Schwachstellen oder Sicherheitslücken bezeichnet wurden. Die Begrifflichkeiten sind m.E. diskussionswürdig in dem Zusammenhang.

Der MS-Exchange ist keine Anwendung für Sicherheit, sondern eine komplexe Groupware-Application mit Mail, Kalender, Aufgaben, Kontakte, Active-Directory-Fähigkeit etc.. Allein demnach steht der Exchange nicht für Sicherheit. Sicherheit wird in der IT durch Firewalls, Endpoint Response und Response Lösungen etc. versucht herzustellen, weil die eigentlichen Applikationen und Betriebssystem immer wieder Einbruchstellen haben. Lücke suggeriert auch, dass da etwas zu stopfen ist und alles ist wieder gut. Sicherheit ist in der Regel eine komplexe Angelegenheit.

Eine bessere Wortwahl wäre Einbruchstelle, Einbruchsmöglichkeit, Einbruch in eine Applikation; sie wäre auch ehrlicher, fokussiert und reduziert die inflationäre Nutzung von Sicherheit. Wenn in eine Wohnung eingebrochen wird, heißt es ja nicht, die Wohnung habe eine Sicherheitslücke gehabt. Wenn ich den Einbruch als Einbruch benenne, ist der Blickwinkel auf das Geschehen ein anderer, viel dichter dran an der Software-Entwicklung, die ordentlichen und einfachen Code schreiben muss, damit das Risiko eines Einbruches von Haus aus reduziert ist.

Der Duden beschreibt die Sicherheitslücke so: "Sicherheitsmangel aufgrund fehlender Berücksichtigung eines speziellen Risikos".

In Wikipedia ist "eine Sicherheitslücke oder Schwachstelle ... ein Fehler in einer Software, durch den ein Programm mit Schadwirkung (Exploit) oder ein Angreifer in ein Computersystem eindringen kann."

In einem Leserbrief in der iX September 2021 steht geschrieben: "ich bevorzuge 'risikoakzeptabel'" statt 'sicher'. Eine treffendere Wortwahl, wird doch gleich von einem Risiko gesprochen, was bewertet werden muss, um dann eine Grenze zu setzen durch den Ausdruck, das ist akzeptabel. Bei der Wortwahl kämen Nutzer:innen auch gleich auf den Gedanken zu fragen, wo die Grenze gesetzt wird und wie die Restrisiken aussehen; und ob man damit zufrieden ist. Man käme auch auf die Produkthaftung zu sprechen, welche 2021 leider nicht Einzug gehalten hat in der IT-Sicherheitskennzeichnung.