Benimmregeln für Internet Security Systems bei Sicherheitslücken

Internet Security Systems (ISS) hat neue Richtlinien bekannt gegeben, wie das Unternehmen künftig mit Sicherheitslücken in Software umgehen will. Vier Phasen sehen die nun geltenden Vulnerability Disclosure Guidelines bei der Veröffentlichung vor: 1. Entdeckung, 2. Meldung bei den Anbietern, 3. Unterrichtung der Kunden und 4. der Öffentlichkeit. Die Richtlinien sollen je nach Erfahrungen angepasst werden.

ISS wurde im Zusammenhang mit der Entdeckung einer Sicherheitslücke im Apache-Webserver im Juni stark kritisiert. Das Unternehmen hatte nach Ansicht von Apache-Entwicklern die Information so schnell an die Öffentlichkeit gegeben, dass man bei der Apache Foundation nur zwei Stunden Zeit zur Reaktion gehabt hätte. Dabei sei man schon auf der Suche nach einer Lösung des Problems gewesen. ISS war der Ansicht, dass das Sicherheitsproblem bei der Bedeutung von Apache als Webserver zu wichtig gewesen sei, als dass man länger mit einer Information der Öffentlichkeit habe warten können.

Ausgearbeitet wurden die Guidelines von X-Force, einer Forschungs- und Entwicklungsabteilung von ISS. Wichtig ist zum einen der Übergang von der zweiten zur dritten Phase, also die Zeit von der Benachrichtigung der Anbieter bis zur Benachrichtigung der Kunden, die einen Arbeitstag betragen muss. Zum anderen hat der Anbieter 30 Tage Zeit, das Loch zu stopfen. Erst dann soll X-Force die Öffentlichkeit informieren.

Die 30-Tage-Regelung entspricht der, die Microsoft vor kurzem mit fünf Sicherheitsunternehmen, darunter auch ISS, für sich ausgehandelt hat. Hier wie dort konnten sich die IT-Sicherheitsexperten nicht durchsetzen, die nach einer Politik des Full Disclosure verlangt hatten. Im Rahmen einer Studie durch die Hurwitz Group hatte sich über zwei Drittel der 300 befragten Profis eine Frist von längstens eine Woche bis zu einer Veröffentlichung eines Sicherheitsproblems gewünscht. (anw)