CERT veröffentlicht Sicherheitslücken

Das Computer Emergency Response Team (CERT) ändert seine Veröffentlichungspolitik: Zukünftig wird CERT alle dem Team bekanntgewordenen Sicherheitslücken nach 45 Tagen publizieren – unabhängig davon, ob die betroffene Software gefixt ist oder nicht. Damit weicht CERT von der bisherigen konservativen Politik ab, nicht die Sicherheitsprobleme selbst, sondern nur die entsprechenden Gegenmaßnahmen der Hersteller zu veröffentlichen, sobald diese verfügbar waren. CERT wurde für diese Vorgehensweise häufig kritisiert, weil die Öffentlichkeit zu Recht Informationsbedarf anmeldete.

Das Team habe sich nun zu dem Kompromiss entschlossen, um einerseits Herstellern eine gewisse Zeitspanne zur Behebung von Sicherheitslücken einzuräumen, andererseits die Öffentlichkeit mit Informationen zu versorgen.

Security-Experten vertreten sehr unterschiedliche Ansichten, wie man mit Sicherheitsmängeln umzugehen habe. Während eine Fraktion die Meinung vertritt, man müsse alle neuen Software-Schwachstellen geheimhalten, sind andere Experten der Ansicht, man müsse die Öffentlichkeit sofort über solche Risiken informieren. "CERT will versuchen einen gesunden Mittelweg zu gehen", kommentierte der CERT Team-Leiter Shawn Hernan gegenüber dem Internetdienst ZDnet. Anders als Bugtraq wird CERT jedoch keine Anwendungsbeispiele, so genannte Exploits, für die gefundenen Lücken veröffentlichen. (vza)