Organisation will Regeln für Behandlung von Sicherheitslücken festlegen

27. September 2002, 17:55
posten

Organisation für Software-Sicherheit soll Frieden zwischen Softwareentwicklern und Sicherheitsforschern sichern - Softwareentwicklern wird eine Frist von 30 Tagen gesetzt

Elf Software- und Computersicherheits-Unternehmen haben gemeinsam eine Organisation für Software-Sicherheit (OIS) offiziell aus der Taufe gehoben. Die "Organisation for Internet Safety" soll nach dem Wunsch der Gründungsmitglieder "standardisierte und allgemein anerkannte Richtlinien für die Behandlung von Sicherheitslücken" festlegen.

Frist von 30 Tagen

Bereits im vergangenen Frühjahr hatten die OIS-Mitglieder einen ersten Vorschlag an die Internet Engineering Task Force übermittelt, der allerdings abgelehnt wurde. Demnach sollten Softwareunternehmen innerhalb einer Woche auf eine Benachrichtigung zu einer Sicherheitslücke von einem Sicherheits-Forscher antworten. Die Sicherheitsunternehmen räumen dafür den Sein, bevor sie mit ihren Informationen an die Öffentlichkeit gehen.

Widerspruch auflösen

Mit diesen allgemeinen Regeln wollen die Unternehmen vor allem auch den ständigen Widerspruch zwischen unabhängigen Sicherheits-Forschern und -Unternehmen auf der einen Seite sowie der Softwareindustrie auf der anderen Seite auflösen. Sicherheits-Forscher und -Unternehmen veröffentlichen oft ihre Ergebnisse, um ihre Kunden schneller zu warnen oder ein möglichst großes Medienecho zu erhalten, wie ihre Kritiker oft meinen. Die Softwareunternehmen wiederum sind daran interessiert, die Sicherheitslücken ihrer Anwendungen möglichst ohne großes Aufsehen zu schließen oder ihre Verfehlungen zuzudecken, wie der Vorwurf aus dem Gegenlager lautet.

Allgemein akzeptierte Richtlinien

Bis zum kommenden Frühjahr planen die elf Unternehmen allgemein akzeptierte Richtlinien über die Veröffentlichung von Sicherheitslücken zu veröffentlichen. Dabei sollen die Interessen beider Seiten berücksichtigt werden. Die Gründungsmitgliedern von OIS sind @stake, BindView, Caldera, Foundstone, Guardent, Internet Security Systems, Microsoft, (pte)

  • Bild nicht mehr verfügbar
Share if you care.