ISS veröffentlicht Sicherheitslöcher nach neuen Richtlinien

Die Sicherheitsexperten von Internet Security Systems (ISS) haben neue Richtlinien für den Bekanntgabe-Prozess von Schwachstellen mitgeteilt. Binnen 24 Stunden nach der Entdeckung eines Lecks informiere man nun den Hersteller betroffener Soft- oder Hardware. Bis zur Benachrichtigung der Öffentlichkeit habe dieser dann 30 Tage Zeit, geeignete Gegenmaßnahmen zu entwickeln.

Während der 30-tägigen Frist beschäftigen sich die ISS-Spezialisten der X-Force nach eigenen Angaben weiterhin mit dem Sicherheitsleck. Abhängig vom Problem und den Erkenntnissen der Experten, wollen sie den Hersteller zum Beispiel mit Informationen über Exploits unterstützen. Patches, die der Hersteller entwickelt, könnten von der X-Force auf ihre Funktionsfähigkeit getestet werden. Bevor ISS schließlich die Öffentlichkeit informiert, werde die schriftliche Mitteilung, das „Security Advisory“, mit dem Hersteller abgestimmt. Diese Richtlinien sollen gleichermaßen für alle Anbieter kommerzieller Security-Produkte sowie für sämtliche Open-Source-Projekte gelten.

Unter bestimmten Voraussetzungen behalte sich ISS die Möglichkeit vor, von der 30-Tages-Frist abzusehen. Etwa wenn der Hersteller vorzeitig einen Patch zur Verfügung stelle oder selbst mit der Nachricht an die Öffentlichkeit gehe. Das gleiche gelte für den Fall, dass ISS die aktive Ausnutzung der Schwachstelle im Internet beobachtet oder von der freien Verfügbarkeit eines Exploits erfährt.

Die jetzt veröffentlichten Richtlinien hat ISS in enger Abstimmung mit der von Microsoft (Börse Frankfurt: MSF) ins Leben gerufenen Organization for Internet Safety (OIS) entwickelt. Der im Frühjahr 2002 gegründete Verbund will Konsens zwischen Security-Anbietern und Software-Herstellern über die Bekanntgabe-Praxis von Sicherheitslücken herstellen.

Kontakt: Internet Security Systems, Tel.: 0711/7819080 (günstigsten Tarif anzeigen)