Symantec kauft Betreiber der Sicherheits-Mailinglist Bugtraq

Der Utility- und Sicherheitssoftware-Hersteller Symantec hat neben zwei anderen Firmen -- das Sicherheitsunternehmen Riptech und Recourse Technologies, Spezialist für Intrusion Detection -- auch den Security-Spezialisten SecurityFocus übernommen. Einer größeren Gemeinde von Administratoren und Internet-Usern dürfte das Unternehmen vor allem durch die Sicherheits-Mailinglist Bugtraq bekannt sein, auf der Anwender und Experten Sicherheitslücken in Software veröffentlichen und diskutieren können. Bugtraq spielte immer wieder eine Rolle in der seit einigen Monaten anhaltenden Diskussion, wie mit der Veröffentlichung von Sicherheitslücken umzugehen ist. Gerade Sicherheitsexperten und auch die Betreiber von Bugtraq propagierten immer wieder eine rückhaltlose Veröffentlichung (full disclosure). Umstritten ist diese Politik unter anderem bei Microsoft; der Konzern bezeichnete dies schon einmal als "Informations-Anarchie". Aber auch die Apache-Entwickler bedingen sich zumindest eine bestimmte Frist für die Reaktion auf Lecks aus und kritisierten die allzu schnelle Veröffentlichung einer Sicherheitslücke im Apache-httpd durch die Sicherheitsfirma ISS scharf.

In einem Statement, das Symantec und SecurityFocus gemeinsam veröffentlichten, versucht Symantec gleich, alle möglichen Befürchtungen über eine Änderung der Bugtraq-Politik zu zerstreuen: Man werde die Mailinglist und die zugehörige Online-Community unter der Marke SecurityFocus weiterführen. "Es wird ein Forum bleiben, um objektiv durch Sicherheitsexperten über die neuesten IT-Sicherheitsbedrohungen und Angriffe sowie über die Vermeidung von Sicherheitslücken berichten zu können", heißt es bei den beiden Firmen.

In einer FAQ, die SecurityFocus auf Bugtraq veröffentlichte, heißt es zur Politik, die Symantec verfolgt, man halte eine 30-Tage-Frist nach der Veröffentlichung einer Sicherheitslücke ein. In diesem Zeitraum gebe man zwar Informationen über das Leck weiter, aber keine Detail-Anleitungen, um die entsprechende Lücke auszunutzen. Man veröffentliche keine Exploits oder schädlichen Code, außer für andere vertrauenswürdige Sicherheitsexperten. Symantec aber versichert weiter: "Wir glauben, dass Bugtraq eine unabhängige Einheit bleiben muss, um effektiv zu sein." Die gegenwärtige Disclosure-Politik von Bugtraq sei für die Liste angemessen. Symantec aber werde seine eigene Disclosure-Politik weiter verfolgen.

Darüber hinaus will Symantec die Datenbank von SecurityFocus weiter anbieten, in der Verwundbarkeiten und Sicherheitslücken von Software aufgeführt sind. Sie soll zudem auch weiterhin an Dritthersteller lizenziert werden. Auch die Software-Lösungen für das Sicherheits-Management, von SecurityFocus unter dem Label DeepSight entwickelt, möchte Symantec weiterführen.

Insgesamt bezahlt Symantec für die drei Unternehmen 375 Millionen US-Dollar; der Kaufpreis für SecurityFocus beläuft sich auf 75 Millionen US-Dollar. Die Ankündigung der Firmen-Übernahmen kam im Rahmen der Vorstellung der Geschäftszahlen durch Symantec. Die Firma erzielte einen Netto-Gewinn von 56,6 Millionen US-Dollar (0,36 US-Dollar pro Aktie); im gleichen Quartal des Vorjahrs fiel noch ein Verlust von 21,2 Millionen US-Dollar (0,14 US-Dollar pro Aktie) an. Der Umsatz belief sich auf 326 Millionen US-Dollar im ersten Quartal, ein Plus von 38 Prozent gegenüber dem Vorjahr. "Egal, wie man es betrachtet: Wir stehen gut da", meinte Symantec-Chef John Thompson. Viele der Produkte seien besser gelaufen, als man es bislang in einem ersten Geschäftsquartal erlebt habe. Die Umsätze mit Unternehmen sind bei Symantec um 35 Prozent gestiegen, während das Geschäft mit Privatkunden um geschlagene 90 Prozent zulegte. Nur mit dem Markt der Intrusion Detection Systems sei man nicht zufrieden, deshalb habe man auch Recourse Technologies übernommen. (jk)