Google verkürzt Schonfrist für Hersteller verwundbarer Software

Google macht mit Anbietern verwundbarer Software und Webdienste künftig kurzen Prozess, wenn Gefahr im Verzug ist: Stößt das Sicherheitsteam von Google auf eine Zero-Day-Lücke, die bereits aktiv für Cyber-Angriffe ausgenutzt wird, räumt es dem betroffenen Hersteller fortan nur noch eine Schonfrist von einer Woche ein, um die Lücke zu schließen.

Nach Ablauf der sieben Tage will Google die Details zur Schwachstelle im Sinne einer Responsible Disclosure veröffentlichen, damit sich die Nutzer der verwundbaren Programmen vor den Angriffen schützen können. Bislang hat der Suchmaschinenriese 60 Tage gewartet, ehe er mit den Details an die Öffentlichkeit gegangen ist. Wenn der betroffene Hersteller so kurzfristig keinen Patch anbieten kann, soll er nach dem Willen von Google zumindest ein Advisory veröffentlichen, das Workarounds zum Abdichten der Lücke enthält.

Google spricht bei der Sieben-Tage-Frist selbst von einem "aggressiven Zeitrahmen". Ziel der Verkürzung sei es, das Netz sicherer zu machen und auch die Koordination gemeldeter Schwachstellen zu verbessern. Das Sicherheitsteam erklärt, dass man sich auch bei Google an diese Vorgaben halte und Sicherheitsforscher dazu animiere, Sicherheitslücken, die bereits für Cyber-Angriffe missbraucht werden, nach einer Woche zu publizieren. (rei)