103968

Wie werden Sicherheitslücken bekannt?

02.07.2009 | 09:55 Uhr |

Wie gehen Software-Hersteller mit Sicherheitslücken um?

Wenn Sicherheitsforscher eine neue Schwachstelle in einem Programm entdecken, stehen sie vor der Frage, wie sie mit dem Wissen umgehen sollen. Die Hersteller, allen voran Microsoft, haben eine klare Antwort darauf: verantwortungsvolles Offenlegen („responsible disclosure“). Das bedeutet, der Entdecker einer Sicherheitslücke soll den betroffenen Hersteller informieren, nicht jedoch Dritte oder gar die Öffentlichkeit. Er soll alle Informationen so lange zurückhalten, bis der Hersteller ein Update bereitgestellt hat, das die Schwachstelle beseitigt – egal, wie lange das dauern mag.

Einige IT-Sicherheitsfirmen fördern das Stillhalten, indem sie Prämien von beispielsweise 10.000 Dollar für neue Lücken zahlen. Der Entdecker verrät die Lücke sonst niemandem. Einige Forscher könnten auch versuchen, ihre Entdeckung bei Online-Kriminellen an den Mann zu bringen und damit Geld zu machen.
Im Gegensatz dazu favorisieren vor allem manche Anhänger des Open-Source-Gedankens „full disclosure“, also das komplette Offenlegen: Alle Details, inklusive Beispielcode, sollen sofort oder nach einer Frist für den Hersteller veröffentlicht werden.

0 Kommentare zu diesem Artikel
103968