RFC für Veröffentlichung von Sicherheitslücken kommt doch nicht

Der unlängst veröffentlichte erste Entwurf (Draft) eines RFCs zur verantwortungsbewussten Veröffentlichung von Sicherheitslücken ("Responsible Vulnerability Disclosure Process") ist nach einem Monat wieder vom Board der Internet Engineering Task Force (IETF) genommen worden. Gegenüber dem Initiator des RFCs, Steve Christey von MITRE, begründete die IETF die Entfernung des Drafts damit, dass die Mitglieder ihre Aufgabe nicht darin sähen, menschliche Verhaltensweisen zu standardisieren.

Steve Christey und Chris Wysopal von @stake hatten vorgeschlagen, dass der Entdecker einer Sicherheitslücke zunächst den Hersteller des Produkts benachrichtigt soll. Dieser müsse ihm innerhalb von sieben Tagen den Erhalt der Meldung bestätigen und ihn regelmäßig über den Status seiner Aktivitäten informieren. Dem Hersteller sei eine Frist von 30 Tagen einzuräumen, um Abhilfe zu schaffen. Erst danach sollten Hersteller oder Entdecker Informationen zu dem Sicherheitsproblem veröffentlichen. Gelinge es dem Hersteller innerhalb dieses Zeitraums nicht, das Problem zu beseitigen, könne er den Entdecker um eine weitere 30-Tage-Frist bitten, müsse dies aber begründen.

"Wir waren und sind noch immer der festen Überzeugung, dass ein einheitliches Vorgehen bei der Veröffentlichung von Sicherheitslücken nötig ist", bekräftigte Christey sein Engagement, auch wenn man mit der IETF wohl den falschen Adressaten für eine Standardisierung gewählt habe. Auch "Security-Papst" Bruce Schneier zollt den Initiatoren weiterhin seinen Tribut. Zwar habe der Weg über die IETF wenig Sinn gemacht, mit der Philosophie des Inhalts des Drafts stimme er aber weitestgehend überein. "Ich denke, das vorgelegte Dokument hat einiges an Substanz, denn es schafft eine Balance zwischen den Bedürfnissen von Kunde und Hersteller", resümiert Schneier. (pmz)