Microsoft will Veröffentlichung von Sicherheitslücken einschränken

9. November 2001, 19:51
7 Postings

Eigene Organisation soll Richtlinien festlegen - Kritiker befürchten "Informationskartell"

Microsoft und fünf weitere Computersicherheitsunternehmen haben eine Partnerschaft, die die Bekanntgabe von Sicherheitslücken in Software regelt, gegründet. Die Koalition wurde von dem Softwarekonzern zum Abschluss des Trusted Computing Forum Microsoft aus der Taufe gehoben. Die Organisation soll die vollständige Veröffentlichung von Sicherheitslücken verhindern.

Nur noch allgemeine Warnungen

Bindview, Foundstone, Guardnet, @Stake und Internet Security Systems haben mit Microsoft vereinbart, die gemeinsame Politik sofort umzusetzen. Die Mitglieder der Gruppen wollen in Zukunft bei der Entdeckung einer Sicherheitslücke nur noch eine allgemeine Warnung aussprechen, aber keine Informationen, wie diese Sicherheitslücke ausgenutzt werden könnte und schon gar nicht die entsprechenden Codes, die den Bug demonstrieren, liefern. Erst 30 Tage nachdem die erste Warnung veröffentlicht wurde, soll eine vollständigere Nachricht folgen. Die Organisation soll weiteren Unternehmen offen stehen. Die Gruppe will Richtlinien erarbeiten, die der Internet Engineering Taskforce vorgelegt werden sollen.

Ethik-Richtlinien

Sobald die Ethik-Richtlinien ausgearbeitet sind, soll die Gruppe, die noch keinen Namen hat, auch für die Einhaltung der Bestimmungen sorgen. Dabei gelte in Zukunft jeder Sicherheitsexperte, der entgegen den Vorgaben Programmfehler veröffentlicht, automatisch als Black Hat, also als böswilliger Hacker. "Als verantwortungsvolle Industrieunternehmen und als Organisation werden wir angemessenen Standards folgen", zitiert SecurityFocus Scott Culp, den Leiter von Microsofts Security Response Center in diesem Zusammenhang. Culp hatte erst Mitte Oktober mit seinem Beitrag zur eingeschränkten Veröffentlichung von Sicherheitslücken eine heftige Diskussion in der Sicherheits-Community ausgelöst.

Entsteht ein Informationskartell?

Die Absicht von Microsoft, Informationen zu Sicherheitslücken nur teilweise zu veröffentlichen, stößt in den USA nicht nur auf Zustimmung. Viele Sicherheitsexperten befürchten, dass damit ein Kartell entsteht, dass ihnen die benötigten Informationen für die Erstellung von Lösungen oder zum Testen von Patches vorenthält. "Was hier entsteht, ist ein Informationskartell", erklärte der frühere Moderator der Sicherheits-Mailingliste Bugtraq und jetzige CTO von SecurityFocus, Elias Levy. "Die Unternehmen stehen damit vor ihren Kunden besser da." (pte)

Share if you care.