Streit um Veröffentlichung von Sicherheitslücken
Ein Gartner-Analyst kritisiert Microsofts Vorwürfe, Sicherheitsexperten würden "Cyber-Kriminelle bewaffnen"; die Poltik des "Full Disclosure" gerät aber ebenfalls unter Beschuss.
In einem Artikel auf CNET kritisiert ein Analyst des renomierten Beratungsunternehmens Gartner Microsofts Vorwürfe gegen Sicherheitsexperten, die Sicherheitslücken veröffentlichen. Der Microsoft-Experte hatte in diesem Zusammenhang von "Information Anarchy" gesprochen und beschuldigte die Security-Experten "Cyber-Kriminelle zu bewaffnen". Der Gartner-Analyst hingegen befürwortet die Veröffentlichung der Informationen und vergleicht Microsofts Anschuldigungen mit den Versuchen der Kirche, die Diskussion um die Theorien von Galileo und Darwin zu unterdrücken. Er sieht das wahre Problem in dem Hype, den manche Firmen zu Sicherheitsrisiken verbreiten. Der Kommentar endet mit der Feststellung: "Je weiter sich das Wissen um Sicherheitsrisiken verbreitet, desto schneller werden sie auch beseitigt."
Beide Positionen sind altbekannt. Schon vor Jahren gründeten Sicherheitsexperten aus Frustration über Firmen, die auf Hinweise zu Sicherheitslücken gar nicht oder erst nach Monaten reagierten, die Security-Mailingliste Bugtraq, die sich dem Prinzip des "Full Disclosure" verschrieben hat. Das bedeutet, auf Bugtraq werden alle Details von Sicherheitsproblemen diskutiert – auch wie man damit in Systeme einbrechen kann. So ist es durchaus üblich, auf Bugtraq auch sogenannte "Exploits" zu veröffentlichen, den Code, mit dem man ein Sicherheitsloch ausnutzen kann. Der Codex verlangt es allerdings, zunächst den Hersteller zu informieren und diesem die Möglichkeit einzuräumen, das Problem zu beseitigen.
Die Betreiber der Liste argumentieren, dass der Einzelne erst mit diesen Details feststellen kann, ob sein System ebenfalls betroffen ist. Außerdem kann er damit ähnliche Sicherheitsprobleme in anderen Betriebssystemen oder Programmen aufspüren. Des weiteren erhöhe die drohende Veröffentlichung die Kooperationsbereitschaft der Software-Hersteller. Tatsächlich hat sich seit der Gründung von Bugtraq sowohl die Zahl der entdeckten Sicherheitsprobleme als auch die Bereitschaft der Hersteller, schnell und unbürokratisch Lösungen dafür bereitzustellen, deutlich erhöht.
In den letzten Monaten ist ein erneuter Streit um die "Full Disclosure"-Politik entbrannt. Unter anderem Code Red und Nimda haben gezeigt, dass viel zu viele Administratoren und Anwender existierende Sicherheits-Updates nicht einspielen. Deshalb sind ihre Systeme auch Monate nach Veröffentlichung eines Sicherheitslochs und der notwendigen Updates immer noch angreifbar. (ju)