Prämien für Sicherheitslücken kommen in Mode

Die Sicherheitsfirma TippingPoint, Ende letzten Jahres vom Netzwerkspezialisten 3Com übernommen, zahlt Prämien für exklusiv an sie gemeldete Sicherheitslücken im Rahmen ihrer neuen Zero Day Initiative. Das Unternehmen will die Lücke verifizieren, anschließend Kontakt zu den Herstellern aufnehmen und den gefundenen Fehler veröffentlichen, wenn der Hersteller eine Lösung für das Problem bereitstellt.

Zudem will TippingPoint diese Information nutzen, um seinen Kunden frühzeitig Schutz vor möglichen Exploits über seine Intrusion Prevention Systeme (IPS) zu bieten, indem das Unternehmen neue Signaturen ausliefert. iDefense betreibt ein ähnliches Programm schon seit April 2003.

Diese Vorgehensweise ist umstritten, läuft sie doch durch das Veröffentlichen von Signatur-Updates dem Responsible Disclosure entgegen, dessen Ziel es ist, den Kreis der Wissenden bis zur Verfügbarkeit von Lösungen seitens des Softwareherstellers klein zu halten. Es ist durchaus möglich, aus den Signatur-Updates auf die Sicherheitslücke zu schließen -- böswillige Individuen könnten mit dem Wissen Schadcode erstellen. Nutzer der fehlerhaften Software sind dann ungeschützt, bis der Hersteller auf das jeweilige Sicherheitsleck reagiert und Lösungen anbietet. So befürchten Kritiker eine Verschlechterung der Sicherheitslage durch diese temporär zurückgehaltenen Meldungen in Kombination mit Aktualisierung der Signaturdateien. (dmk)