Sicherheits-Ethik am Wendepunkt

Microsoft gründet Organisation, die sich um Richtlinien bei der Veröffentlichung von Sicherheitsproblemen kümmern soll

Microsoft (Börse Frankfurt: MSF) hat wie von der Branche erwartet, mit fünf Sicherheits-Unternehmen gemeinsam eine Art Ethik-Gremium gegründet. Dieses soll sich um einheitliche Standards bei der Veröffentlichung von Sicherheitslöchern kümmern (ZDNet berichtete).

Microsoft hat vor allem Angst, dass Security-Experten bei der Veröffentlichung von Bugs Beispielcode publizieren, der Hackern zeigt, welcher Weg auf einen fremden Rechner führt. Bei der hauseigenen Trusted Computing Conference konnte der Konzern Guardent, @Stake, Bindview, Foundstone und Internet Security Systems für das Vorhaben gewinnen. Die offizielle Ankündigung soll innerhalb des nächsten Monats erfolgen. Bis dahin will man noch weitere Partner akquirieren, darunter auch Branchengrößen. „Wir wollen die Ciscos und Suns und Sicherheitsfirmen in unserer Gruppe“, erklärte der COO von Guardent, Eddie Schwartz.

Der Herausgeber der „NTBugTraq“-Mailingliste Russ Cooper startete derweilen einen Gegenansatz. Er veröffentlichte seine eigenen Maßstäbe und nannte sie „Responsible Disclosure Forum“ – „Forum für verantwortliches Publizieren“. Cooper und Microsoft stimmen insofern überein, als dass sie ein allzu detailliertes Veröffentlichen von Sicherheitslücken als Problem sehen. „Entweder ihr nehmt am Responsible Disclosure Forum teil oder ihr seid ein ‚black hat‘ und bösartig. Ende der Diskussion“, schrieb Cooper. „Es hängen zuviel Geld, zuviele Personen und ein zu großer Anteil der weltweiten Kommunikation von einer verantwortlichen Veröffentlichung der Sicherheitslücken ab. Deshalb ist es diese Diskussion weiterhin Wert, geführt zu werden.“

Gemäß den Microsoft-Richtlinien haben die Software-Entwickler 30 Tage Zeit, einen Patch zu basteln. Zudem müssen die Mitglieder unverzüglich auf einen Hinweis antworten und den Entdecker des Problems auf dem Laufenden halten. Die restlichen Details müssen noch festgelegt werden.

Kontakt: Microsoft, Tel.: 089/31760 (günstigsten Tarif anzeigen)

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu Sicherheits-Ethik am Wendepunkt

Kommentar hinzufügen
  • Am 9. November 2001 um 18:57 von nick

    Ethik? welche Ethik? die Ethik des Geldes?
    Bei einer derartigen Verballhornung des Begriffes Ethik kann einem schlecht werden. *spei* *kotz* *wuerg*

  • Am 11. November 2001 um 9:06 von mik

    sicherheit
    in jeder anderen branche wuerde jeder fehler der die sicherheit des anwenders beinträchtigt oder gefaehrdet eine rueckrufaktion zur nachbesserung erfolgen. es koennte sich ja ein anwalt finden der schadenersatz einklagt. in keiner anderen branche (auch nicht hardware) werden von den kunden derartig fehlerhafte produkte akzeptiert.

    warum kaufen alle das neueste produkt solange der vorgaenger nicht richtig funktioniert ?

    warum fordert keiner schadenersattz ?

    warum retouniert keiner das mangelhafte produkt bei seinem haendler und fordert sein geld zurueck ?

    wo ist der konsumentenschutz ?

  • Am 11. November 2001 um 9:27 von nick

    gute frage!
    wenn man solch einfache und vernuenftige fragen liest, wird einem erstmal klar das anscheinend alle den überblick verloren haben, um derartig einfache fragen zu stellen. folgt man nun dem konzept das in o.g. artikel beschrieben wird, werden diese art von fragen vermutlich bei androhung von abmahngeld verboten.

  • Am 11. November 2001 um 20:49 von Matthias

    Den Bock zum Gärtner….
    Es kann doch wohl nicht wahr sein, daß diejenigen die unfertige, löchrige Software auf die Menschheit los lassen nun auch noch darüber entscheiden dürfen, was von diesen Mängeln veröffentlicht werden darf. Und das alles steht dann unter dem Siegel der Ethik. Auf solche Ideen können nur sehr kranke Hirne kommen. Es ist ein Versuch die Rede- und Pressefreiheit weiter massiv zu untergraben. Haben heute schon Verlage, welche kritisch über Microsoft berichten, enorme Probleme weiter offizielle Software als kostenloses Testexemplar des Konzerns zu bekommen, wird wohl der Druck auf objektive Berichterstatter unter dem Siegel der Ethik weiter wachsen. So wie man in der Politik missliebige Nachrichtenredakteure mundtot macht, werden die angeschlossenen Konzerne alsbald auch missliebige Reporter und Redakteure von Zeitungen Sendern und Webseiten ethisch verfolgen und "umerziehen". Sowas nenne ich dann faschistoid !

    Traurig

  • Am 12. November 2001 um 11:19 von WR

    Kompromiß für beide Seiten
    Hab’s an anderer Stelle schon mal geschrieben, hier nochmals:

    **Jede** Software, egal ob Windows, Linux, Star- oder MS-Office usw. hat heute eine derart hohe Komplexität erreicht, so daß Fehlerlosigkeit von Anfang an in absehbarer Zeit kaum realistisch sein dürfte. Das entbindet den Hersteller aber natürlich nicht davon, diese Fehler zu beseitigen. Das trifft nicht nur Microsoft, der Marktführer ist aber natürlich hier ganz besonders in der Pflicht. In beinahe jedem Bereich ist es aber üblich, daß der Hersteller oder Händler Gelegenheit zur Nachbesserung haben muß.

    Ein Kompromiß, der sowohl Herstellern als auch Anwendern hilft, wäre etwa folgender: Wer eine Sicherheitslücke entdeckt, die offensichtlich noch nicht bekannt ist, meldet diese zuerst an den Hersteller. Dabei setzt er/sie einen Termin fest, zu dem man das Problem veröffentlichen wird. Damit hat der Hersteller eine faire Gelegenheit, passend zu reagieren und die Masse der Normalanwender wird in dieser Zeit nicht durch Trittbrettfahrer gefährdet. Durch die angedrohte Veröffentlichung wird aber einer Vertuschung vorgebeugt.

    Natürlich könnte nun der Hersteller versuchen, den Entdecker der Sicherheitslücke unter Druck zu setzen. Das trifft aber wohl eher auf Einzelpersonen zu. Die müssen ja aber nicht selbst auf den Hersteller zugehen, sondern könnten sich z.B. an eine seriöse (möglichst fachnahe) Verbrauchervertretung wenden (z.B. an die Redaktion einer seriösen Computerzeitschrift, an eine Uni usw.).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *