Verkehrte Welt: ein Sicherheitsforscher, Prof. Dr.-Ing. Sebastian Schinzel von der FH Münster, findet eine Verwundbarkeit in gängiger E-Mail-Verschlüsselung, benachrichtigt die Hersteller von E-Mail-Clients, warten dann mehrere Monate und veröffentlicht schließlich die Lücke – und die Hersteller beklagen sich anschließend, dass die Veröffentlichung vorgenommen wurde, obwohl die Software noch nicht gepatcht ist. Im Interview mit dem Chefentwickler von Enigmail (Link) wird auch deutlich, dass in Projekten Security herunterpriorisiert wurde: „Parallel zur diesem Problem hat Firefox große interne Code-Umstellungen durchgeführt, die zwingend auch in Thunderbird nachgezogen werden mussten – sonst wären die Beta-Versionen von Thunderbird 60 heute nicht lauffähig. So waren kaum Kapazitäten für andere Arbeit vorhanden und das Beheben der Fehler dauerte an.“ Security sollte man nicht herunterpriorisieren, im Gegenteil, man hätte *erst* die gravierende Sicherheitslücke beheben müssen und dann an der neuen Version arbeiten sollen – dann wäre die Thunderbird 60 Beta eben später herausgekommen. Das im Thunderbird-Projekt eine andere Priorisierung vorgenommen wurde, kann man nun wirklich nicht Prof. Schinzel und seinem Team anlasten. Man darf nicht vergessen: für die Sicherheitslücke sind die Hersteller verantwortlich, nicht die Sicherheitsforscher, die die Lücken dann finden. Auf bemerkenswerte Weise zeigt der oben verlinkte Artikel und die ganze Behandlung der Veröffentlichung der Schwäche in gängiger E-Mail-Verschlüsselung, dass die Bedeutung von IT-Sicherheit für IT-Projekte immer noch nicht hinreichend verstanden ist.
