Was ist das Schlimmste, das einer Firma passieren kann, deren Geschäft Sicherheit ist? Dass die eigenen Produkte Sicherheitslücken haben? Falsch. Das Schlimmste ist, wenn die Produkte Lücken haben und Menschen mit bösen Absichten davon wissen. Diese Unterscheidung ist David DeWalt, dem Chef der amerikanischen Firma für IT-Sicherheit, Fireeye, sehr wichtig. "Sicherheitslücken sind unvermeidbar", sagt er der Süddeutschen Zeitung, "es gibt sie bei allen Firmen und keine Firma ist gut darin, ihre eigenen Lücken zu finden." Es brauche daher externe Sicherheitsexperten, die solche Lücken aufdeckten, sagt DeWalt.
Exakt das war innerhalb einiger Wochen gleich zweimal geschehen, und die renommierte Firma Fireeye, die Regierungs-Netzwerke genauso schützt wie Banken und Kraftwerke, kam dabei nicht besonders gut weg. Ein amerikanischer Sicherheitsexperte behauptete, er habe 18 Monate lang versucht, Fireeye auf einen kritischen Fehler aufmerksam zu machen, habe aber kein Gehör gefunden. Und eine deutsche Firma für IT-Sicherheit warf Fireeye vor, mit Anwälten gegen sie vorgegangen zu sein, obwohl man sich noch am Tag davor einig gewesen sei, welche Erkenntnisse wann und wie veröffentlicht werden sollten.
DeWalt stellt das anders dar: Der US-Experte habe schlicht Geld gefordert. Bei Sicherheitsfirmen sei das aber nicht üblich gewesen. Üblich war, dem Entdecker öffentlich zu danken. Dies habe man auch angeboten. Im Fall der deutschen Firma sei das Problem gewesen, dass die Experten ihre Erkenntnisse über die Sicherheitslücke vorstellen wollten, obwohl Fireeye noch nicht alle Systeme bei den Kunden habe absichern können. Etwa 20 Prozent der vielen tausend Kunden wären zu dem Zeitpunkt noch angreifbar gewesen, als die Deutschen ihre Erkenntnisse publik machen wollten. "Und wir wissen, dass solche Lücken oft schon sehr bald ausgenutzt werden", sagt DeWalt.
Die wichtigste Erkenntnis für Fireeye sei daher, dass sich der Prozess der Veröffentlichung ändern müsse. "Wir brauchen genug Zeit, um Sicherheitslücken zu beheben", sagt er, "so etwas kann man nicht in drei Tagen flicken." Denn werde dabei geschludert, reiße man womöglich neue Lücken auf - Lücken, auf die Angreifer nur warten würden.
Und Fireeye will dabei einen für die Branche ungewöhnlichen Schritt gehen: Als erste Firma im Sicherheitsgeschäft will DeWalt bei Fireeye ein Belohnungsprogramm aufsetzen. Wer eine Lücke entdeckt, bekommt Geld dafür. Vorausgesetzt, er lässt sich mit der Veröffentlichung so lange Zeit, bis die Gefahr gebannt ist. Google, Microsoft und andere machen das schon länger, Security-Unternehmen bisher noch nicht.