Sicherheits-Ethik am Wendepunkt

Microsoft (Börse Frankfurt: MSF) hat wie von der Branche erwartet, mit fünf Sicherheits-Unternehmen gemeinsam eine Art Ethik-Gremium gegründet. Dieses soll sich um einheitliche Standards bei der Veröffentlichung von Sicherheitslöchern kümmern (ZDNet berichtete).

Microsoft hat vor allem Angst, dass Security-Experten bei der Veröffentlichung von Bugs Beispielcode publizieren, der Hackern zeigt, welcher Weg auf einen fremden Rechner führt. Bei der hauseigenen Trusted Computing Conference konnte der Konzern Guardent, @Stake, Bindview, Foundstone und Internet Security Systems für das Vorhaben gewinnen. Die offizielle Ankündigung soll innerhalb des nächsten Monats erfolgen. Bis dahin will man noch weitere Partner akquirieren, darunter auch Branchengrößen. „Wir wollen die Ciscos und Suns und Sicherheitsfirmen in unserer Gruppe“, erklärte der COO von Guardent, Eddie Schwartz.

Der Herausgeber der „NTBugTraq“-Mailingliste Russ Cooper startete derweilen einen Gegenansatz. Er veröffentlichte seine eigenen Maßstäbe und nannte sie „Responsible Disclosure Forum“ – „Forum für verantwortliches Publizieren“. Cooper und Microsoft stimmen insofern überein, als dass sie ein allzu detailliertes Veröffentlichen von Sicherheitslücken als Problem sehen. „Entweder ihr nehmt am Responsible Disclosure Forum teil oder ihr seid ein ‚black hat‘ und bösartig. Ende der Diskussion“, schrieb Cooper. „Es hängen zuviel Geld, zuviele Personen und ein zu großer Anteil der weltweiten Kommunikation von einer verantwortlichen Veröffentlichung der Sicherheitslücken ab. Deshalb ist es diese Diskussion weiterhin Wert, geführt zu werden.“

Gemäß den Microsoft-Richtlinien haben die Software-Entwickler 30 Tage Zeit, einen Patch zu basteln. Zudem müssen die Mitglieder unverzüglich auf einen Hinweis antworten und den Entdecker des Problems auf dem Laufenden halten. Die restlichen Details müssen noch festgelegt werden.

Kontakt: Microsoft, Tel.: 089/31760 (günstigsten Tarif anzeigen)