253089

Sicherheitslücken: veröffentlichen oder nicht veröffentlichen?

05.04.2007 | 17:21 Uhr |

Der angesehene Kryptographie-Experte Bruce Schneier vertritt die Ansicht, ohne die Offenlegung von Sicherheitslücken fehle der nötige Druck auf die Hersteller die Schwachstelle zu beseitigen.

Die Diskussion um die Veröffentlichung entdeckter Sicherheitslücken ist und war schon immer kontrovers. Naturgemäß sind die Hersteller betroffener Produkte wenig erfreut, wenn sie quasi aus der Zeitung erfahren, dass ihr Produkt eine Schwachstelle aufweist. Wer das jeweilige Produkt einsetzt, muss mit Angriffen rechnen, bevor er eine Chance hat ein vom Hersteller bereit gestelltes Update zu installieren.

Eine Reihe von Herstellern, allen voran Microsoft, vertreten das Konzept der "verantwortungsvollen Offenlegung". Wer eine Sicherheitslücke entdeckt, soll sie dem Hersteller melden und sein Wissen nicht veröffentlichen. Er soll damit zumindest so lange warten, bis der Hersteller seinen Kunden ein Update oder anderweitige Abhilfe zur Verfügung stellen kann.

Der gerne als "Krypto-Papst" titulierte Sicherheitsforscher Bruce Schneier ist jedoch der Meinung, ohne den Druck einer öffentlich bekannten Angriffsmöglichkeit würden viele Hersteller nicht oder nicht schnell genug reagieren. Die Geheimhaltung einer bestehenden Sicherheitslücke nutze vor allen potenziellen Angreifern, die eine Schwachstelle bereits entdeckt haben könnten.

Nach Schneiers Ansicht ist die verantwortungsvolle Offenlegung ("responsible disclosure") nur so lange eine gute Idee, wie die Androhung einer vollständigen Offenlegung ("full disclosure") existiert. Die von etlichen Sicherheitsforschern praktizierte Veröffentlichung neu entdeckter Sicherheitslücken habe erst die Voraussetzung geschaffen, damit die Hersteller durch verantwortungsvolle Offenlegung zum Handeln gezwungen werden könnten.

Er selbst, beschließt Schneier seine Ausführung, bevorzuge es in einer Welt zu leben, in der er alle Informationen zur Verfügung habe, um seine Sicherheit selbst einschätzen und schützen zu können.

Bruce Schneiers Ausführungen können Sie im einem Themenschwerpunkt von CSOonline nachlesen: The Chilling Effect .

0 Kommentare zu diesem Artikel
253089