Eigentlich ist ja jedem klar, was eine S. ist: Eine Lücke in einem System, das eigentlich Sicherheit erzeugen soll. Was weniger klar ist: Wo S. überall auftauchen, was sie bewirken können, und was das mit jedem einzelnen von uns zu tun hat! - Den Begriff "Exploit" fingegen hört man zwar mitunter, was das aber genau ist, ist meist weniger klar.

Nehmen wir an, Sie kaufen ein Auto. Ein schnelles und schönes, das Sie natürlich nicht verlieren wollen; Ihr Hersteller aber versichert Ihnen, dass es unmöglich sei, es zu stehlen - es sei ein besonders sicheres Schloss verbaut.

Nun bekommt irgendwer durch Zufall heraus, dass dieses ganz besonders sichere Schloss ein seltsames Verhalten zeigt: Wenn man einen Magneten mit einer ganz bestimmten Stärke an eine ganz bestimmte Stelle der Autotür hält und gleichzeitig dreimal an die Scheibe klopft - dann entriegelt sich die Tür!

Dieses Verhalten wäre ein klassischer Fall einer Sicherheitslücke. Je nachdem nun, wie der Entdecker gestrickt ist, hat er unterschiedliche Möglichkeiten, was er mit seiner Entdeckung anfangen könnte.

• Er könnte zum Hersteller gehen und ihn darauf hinweisen. Der Hersteller könnte sich dann etwas überlegen, ein neues Schloss konstruieren z.B., dann eine Rückrufaktion starten und an Ihrem Auto das Schloss wechseln. Den Entdecker könnte er für den Hinweis und die Tatsache, dass jener keinen der anderen Wege wählte, auch entlohnen.
• Der Entdecker könnte die Lücke einfach publik machen: "An alle, die Auto XY besitzen: Wechselt euer Schloss! Denn wenn man dies und jenes tut, geht die Tür auf..." - Würden Sie dies in einer Zeitung lesen, würden Sie wahrscheinlich in die Werkstatt fahren.
• Der Entdecker könnte die Entdeckung für sich behalten und beginnen, Autos zu klauen. Aus seiner Sicht wahrscheinlich wirtschaftlich die ergiebigste Variante...

Bisher reden wir immer nur von einer Sicherheitslücke - also quasi das Wissen um eine Schwachstelle. Es gibt aber noch eine vierte Variante für den Entdecker - er könnte ein Gerät bauen, das den Einbruch ausführt! Man muss es nur an das Auto halten, und es sucht sich automatisch die richtige Stelle für den Magneten und so weiter. Und dieses Gerät könnte er verkaufen!

Dies ist nun eine ganz andere Qualität - das Wissen um die Schwachstelle ist noch eher theoretischer Natur, das Bauen eines Gerätes zum Ausnutzen der Sicherheitslücke schon etwas ganz anderes. Dieses Gerät ist ein Exploit. (engl. to exploit - etwas ausnutzen)

Problematisch: Selbst wenn der Entdecker den ersten Weg wählt und das Problem dem Hersteller mitteilt - dann ist nicht alles gut. Denn erstens muss der Hersteller das Problem ernstnehmen (und nicht versuchen totzuschweigen), zweitens Geld in die Beseitigung des Fehlers und drittens in die Rückrufaktion stecken, und viertens den Spott der Branche auf sich nehmen. Und: Spätestens mit der Rückrufaktion ist der Fehler in der Welt! Es ist also gut möglich, dass jemand anderes später den Exploit baut (das Gerät, das den Einbruch ausführt), in der Hoffnung, nicht alle waren in der Werkstatt...

Das Auto war hier natürlich nur didaktisches Hilfsmittel, meist geht es bei diesem Thema um Computer und Software. Jemand entdeckt also einen Fehler oder eine andere Schwachstelle in einem Programm oder einer Hardware (z.B. einem Fingerabdrucksensor), und früher oder später taucht dann ein Exploit auf - ein Programm, das diese Sicherheitslücke ausnutzt, um in ein Computersystem einzubrechen. Meist geht das recht schnell; es ergibt also Sinn, seinem Rechner immer fleißig die neuesten Updates zuzuführen!

Leider gibt es viele Systeme, bei denen viele nicht wissen, dass es in ihnen ebenfalls Sicherheitslücken geben kann - und dass man diese daher updaten sollte. Ein leider populäres Beispiel: Router. Und auch Sicherheitslücken in Software, die man selbst gar nicht nutzt, kann einen selbst betreffen - wie z.B. wenn bei Mailanbietern eingebrochen wird oder aufgrund einer Sicherheitslücke Ihr Postfach geentert wird. Der Angreifer schickt dann z.B. Spam in Ihrem Namen an Ihre Kontakte, was zu erheblichen sozialen Verwirrungen führen kann...