Microsofts neue Richtlinie für den Umgang mit Sicherheitslücken
Ein Wechsel zu "Coordinated Vulnerability Disclosure" bringt Bewegung in die aufgeladene und scheinbar festgefahrene Diskussion um den richtigen Umgang mit neuen Sicherheitslücken.
Als Reaktion auf die wachsende Kritik an dem von Microsoft eingeforderten Umgang mit neu entdeckten Sicherheitslücken verkündet Microsoft nun einen Strategiewechsel: "Responsible Disclosure" ist tot, es lebe "Coordinated Vulnerability Disclosure".
Im Vordergrund steht, wie auch schon zuvor, die Zusammenarbeit zwischen Sicherheitsexperten und Hersteller mit dem Ziel, möglichen Schaden von Kunden zu abzuwenden. Eine Veröffentlichung von Informationen zu einer Sicherheitslücke ist erst dann vorgesehen, wenn der Hersteller einen Patch entwickelt und veröffentlicht hat. Den kritischen Punkt – was nämlich passieren soll, wenn sich das über viele Monate oder vielleicht sogar länger als ein Jahr hinzieht – erwähnt Microsoft nicht.
Erst gestern hatte das Google-Security-Team eine 60-Tage-Frist proklamiert, innerhalb der ein Hersteller eigentlich Fixes für kritische Lücken bereitstellen sollte. Andernfalls habe ein Sicherheitsexperte das Recht mit seinen Erkenntnissen an die Öffentlichkeit zu gehen. Davon ist bei Microsoft nicht die Rede. Einziges Zugeständnis des Software-Riesen an die Ungeduldigen: Falls eine Lücke nachweisbar aktiv ausgenutzt werden sollte, bevor der Hersteller einen Patch bereit stellt, ist eine Veröffentlichung von Informationen zu der Schwachstelle auch früher statthaft. Aber natürlich wolle man grundsätzlich auch mit Befürwortern des konkurrierenden Konzepts der Full Disclosure zusammen arbeiten, erklärt Katie Moussouris in ihrem Blog-Beitrag zum Thema.
Dass man zu einem Sicherheitsproblem, das bereits für Angriffe genutzt wird, die es sogar ans Licht der Öffentlichkeit geschafft haben, kein Stillschweigen mehr bewahren muss, sagt eigentlich schon der gesunde Menschenverstand. Bleibt also als zentrale Neuerung die Namensänderung. Immerhin signalisiert sie, dass man nicht mehr alle, die anderer Meinung sind, als verantwortungslos brandmarken will, weil sie die Spielregeln der Microsoft'schen Interpretation der "Verantwortungsvollen Veröffentlichung" ablehnen. Nicht viel – aber immerhin ein Zeichen, dass wieder Bewegung in eine sehr aufgeladene und scheinbar festgefahrene Diskussion kommt. (ju)
