Neustadt (dpo) – Nachdem ein KI-System eines Forschungslabors kürzlich demonstrierte, wie schnell sich aus veröffentlichten Sicherheitspatches funktionierende Angriffe entwickeln lassen, haben mehrere Softwarekonzerne nun eine ungewöhnliche Bitte an die Hackergemeinde gerichtet: Man möge doch bitte mindestens 14 Tage warten, bevor man die Schwachstellen ausnutzt.

"Wir haben jahrzehntelang einen bewährten Prozess etabliert", erklärt Sandra Torbeck, Sicherheitschefin beim Betriebssystemhersteller Veridion Systems. "Erst veröffentlichen wir den Patch mit allen technischen Details, dann haben Admins zwei Wochen Zeit zum Testen und Ausrollen, und dann dürfen die bösen Jungs angreifen. Das war schon immer so." Dass ein experimentelles KI-Modell nun binnen Stunden acht vollständige Angriffsketten für Browser und Betriebssysteme erstellen könne – für wenige tausend Dollar und ohne Expertenwissen –, bezeichnete Torbeck als "Verstoß gegen die ungeschriebenen Regeln des fairen Wettbewerbs".

Das Institut für Angewandte Digitalisierungsforschung bestätigte, dass die bisherige Patch-Strategie auf der Annahme beruhe, Angreifer würden sich an den traditionellen Zeitplan halten. "In unseren Modellen gehen wir davon aus, dass Cyberkriminelle maximal 40 Stunden pro Woche arbeiten und am Wochenende Pause machen", so Institutsleiter Prof. Hendric Velten. Die neue KI-Technologie ignoriere diese Konventionen jedoch vollständig.

Veridion Systems erwägt nun, Sicherheitspatches künftig ohne technische Details zu veröffentlichen und stattdessen nur noch "Vertrau uns einfach" als Changelog anzugeben.