Googles Sicherheitsteam definiert "Verantwortung" um
Künftig sollen Sicherheitsexperten im Rahmen einer "verantwortungsvollen Veröffentlichung" von Sicherheitslücken dem Hersteller eine Frist setzen dürfen. 60 Tage sollten in der Regel genug sein, einen Patch für eine kritische Sicherheitslücke zu liefern.
- Ronald Eikenberg
Das Google-Sicherheitsteam eröffnet die Diskussion um die richtige und verantwortungsvolle Veröffentlichung von Sicherheitslücken erneut. Sie schlagen vor, dass es statthaft sein sollte, dem Hersteller eine Frist von 60 Tagen für die Bereitstellung eines Patches zu setzen.
Bislang hat Microsoft die Definitionshoheit über "Verantwortungsvolle Veröffentlichung" (Responsible Disclosure) für sich beansprucht. Seiner Verantwortung gerecht wird demnach nur, wer dem Hersteller die Sicherheitslücke meldet und dann abwartet, bis dieser einen Patch liefert. Das führte dazu, dass Hersteller wie Microsoft sich in einzelnen Fällen über ein Jahr Zeit ließen. Wer sich auf diese Spielregeln nicht einließ, handelte ergo verantwortungslos und landete sehr schnell in der Ecke des Buh-Manns, der Anwender unnötig in Gefahr bringe.
So geschehen erst kürzlich bei Tavis Ormandy, Mitautor des Blog-Beitrags und Mitglied des Google Security Teams. Er hatte eine kritische Lücke im Hilfesystem von Windows entdeckt und mit Microsoft einige Tage erfolglos über das weitere Vorgehen verhandelt. Nachdem sich Microsoft nicht auf einen Termin festlegen wollte, hat er kurzerhand alle Details – inklusive eines Demo-Exploits – ins Netz gestellt. Bevor Microsoft reagieren konnte, wurde die Schwachstelle aktiv ausgenutzt. Das erhöhte den Druck auf Microsoft so sehr, dass die Redmonder nach 34 Tagen einen Patch lieferten, der die Lücke schloss.
Künftig will das Google-Sicherheitsteam diese Vorgehensweise explizit unterstützen. Es soll Sicherheitsexperten auch im Rahmen einer verantwortungsvollen Veröffentlichungspraxis möglich sein, "eine Deadline für die Veröffentlichung von Sicherheitslücken zu setzen, die sie berichten". Verweigert der Hersteller die Zusammenarbeit oder versäumt er es, innerhalb einer angemessenen Frist einen Patch bereitzustellen, sei es legitim, die Sicherheitslücke zu veröffentlichen. Als sinnvollen Zeitrahmen für Patches zu kritischen Lücken in weit verbreiteter Software schlägt das Google-Sicherheitsteam eine "Obergrenze von 60 Tagen" vor.
Die Google-Mitarbeiter sind sich durchaus bewusst, dass sie selbst diesen Anforderungen nicht immer gerecht wurden; sie wollen sich aber zukünftig an diesen Regeln messen lassen. Denn der Druck auf die Hersteller verkleinere "das Zeitfenster, in dem Schwachstellen ausgenutzt werden können" und verbessere damit letztlich die Sicherheit aller Anwender im Internet. (rei)
