Preise für Sicherheitslöcher steigen

Nach der Übernahme durch Verisign und dem Konkurrenzangebot von 3Com erhöht iDefense die Prämien für Sicherheitsexperten, die ihnen neu entdeckte Sicherheitsprobleme exklusiv zur Vermarktung übergeben. In einer Mail auf diversen Sicherheits-Mailinglisten erläutert iDefense die neuen Konditionen für das so genannte Vulnerability Contributor Program. Es enthält unter anderem Prämien von bis zu 10.000 Doller für besonders fleißige Zulieferer. Erst vor wenigen Tagen hat die von 3Com übernommene Firma TippingPoint angekündigt, im Rahmen der Zero Day Initiative zukünftig ebenfalls derartige Prämien auszuloben.

Das Geschäftsmodell hinter diesen Angeboten scheint zu funktionieren. Die regelmäßigen Advisories über neue Sicherheitsprobleme sorgen für einen hohen Bekanntheitsgrad. Gleichzeitig führen sie vor Augen, dass nur iDefense- beziehungsweise TippingPoint-Kunden frühzeitig vor den Schwachstellen geschützt sind. Denn die öffentlichen Advisories erscheinen erst, nachdem der Hersteller der betroffenen Software einen Patch bereitstellt -- also oft Monate nach der Entdeckung des Problems. Wer in der Zwischenzeit alles Zugang zu den Informationen hatte, lässt sich für Außenstehende nicht einschätzen und stellt damit ein unkalkulierbares Risiko dar. (ju)