Organization for Internet Safety gegründet

Microsoft (Börse Frankfurt: MSF) und andere Softwarehersteller haben auf der RSA Konferenz in San Jose eine „Organization for Internet Safety“ (OIS) ins Leben gerufen. Ihre Aufgabe soll es sein, Bugs, die die Sicherheit des Internet betreffen, publik zu machen. Derzeit befinde man sich aber noch in der Phase der Diskussion über die Modalitäten der Zusammenarbeit.

OIS-MItglied und Cheftechnologe bei Foundstone Stuart McClure erklärte die Beweggründe für die Organisationsgründung: „Bislang gibt es kein spezifiziertes Prozedere für den Fall, dass eine Softwarefirma Sicherheitslöcher in relevanter Software veröffentlichen. Es gibt keinen einheitlichen Standard für die Veröffentlichung. Das wird unsere Aufgabe sein.“

OIS geht auf Anstrengungen vom November vergangenen Jahres zurück (ZDNet berichtete): Microsoft hatte damals mit fünf Sicherheits-Unternehmen gemeinsam eine Art Ethik-Gremium gegründet. Microsoft äußerte damals die Befürchtung, dass Security-Experten bei der Veröffentlichung von Bugs Beispielcode publizieren, der Hackern zeigt, welcher Weg auf einen fremden Rechner führt. Bei der hauseigenen Trusted Computing Conference konnte der Konzern damals Guardent, @Stake, Bindview, Foundstone und Internet Security Systems für das Vorhaben gewinnen. Ob sich der Gruppe mittlerweile weitere Unternehmen angeschlossen haben ist nicht bekannt.

Gemäß den Microsoft-Richtlinien haben die Software-Entwickler 30 Tage Zeit, einen Patch zu basteln. Zudem müssen die Mitglieder unverzüglich auf einen Hinweis antworten und den Entdecker des Problems auf dem Laufenden halten. Die restlichen Details müssen noch festgelegt werden.

Der Herausgeber der „Ntbugtraq“-Mailingliste Russ Cooper unterbreitete unterdessen einen Gegenentwurf. Er veröffentlichte seine eigenen Maßstäbe und nannte sie „Responsible Disclosure Forum“ – „Forum für verantwortliches Publizieren“.

Kontakt: Microsoft, Tel.: 089/31760 (günstigsten Tarif anzeigen)