Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

20.10.2000 - 

Schonfrist für Hersteller wird kürzer

US-Cert will künftig alle Sicherheitsprobleme melden

MÜNCHEN (as) - Seit 1998 prüft und publiziert das Cert Coordination Center (Cert/CC) der Carnegie Mellon University in Pittsburgh Sicherheitsvorfälle und Softwarefehler - allerdings nur dann, wenn diese besonders dringend und gefährlich erscheinen. Dies soll sich nun ändern: Künftig werden alle Vorkommnisse spätestens nach 45 Tagen - voraussichtlich auch in anderen Certs - veröffentlicht.

Mit den Computer Emergency Response Teams (Certs) existieren heute weltweit koordinierte Anlaufstellen, die bei Sicherheitsproblemen Hilfestellung leisten und die betroffenen Hersteller und Anwender informieren.

In den USA übernimmt das Cert/CC seit Jahren diese Aufgabe und publiziert bekannt gewordene Störfälle und Anwendungsfehler regelmäßig auf seiner Website www.cert.org. Allerdings war es bisher Usus zwischen den weltweiten Certs, nur die als besonders gefährlich bewerteten Sicherheitslücken sofort zu veröffentlichen, und auch das nur dann, wenn das meldende Cert dieses erlaubte. Das soll sich nun ändern: Künftig will Cert/CC jedem gemeldeten Sicherheitsproblem nachgehen, indem alle verfügbaren Informationen sofort an den vermeintlich verantwortlichen Hersteller übermittelt werden. Dieser hat dann maximal 45 Tage - bei Garantiefällen noch weniger - Zeit, das Problem zu lösen. Nach Ablauf der Frist will Cert/CC dann unabhängig davon, ob der Fehler behoben wurde oder nicht, alle betreffenden Informationen öffentlich machen. "Ziel ist es, mit dieser Politik eine Balance zwischen den Bedürfnissen der Hersteller und denen der Öffentlichkeit zu erzielen", erklärt Cert-Mitglied Shawn Hernann.

Die ersten Reaktionen auf die verschärfte Gangart des Centers fielen unterschiedlich aus. So befürchtet der Analyst Marcus Ranun, dass eine Veröffentlichung aller Sicherheitslücken Hackern nur zusätzliche Informationen und Anregungen für weitere Attacken liefern würde.

Ryan Russell, Mitarbeiter beim Online-Portal SecurityFocus.com, begrüßte hingegen die Entscheidung des Cert, weil sich Unternehmen nur durch eine schonungslose Veröffentlichung aller Probleme wirklich schützen könnten. In Deutschland besteht als eines der wichtigsten Center das DFN-Cert (www.cert.dfn.de), das seit 1993 die wissenschaftlichen Einrichtungen betreut, grundsätzlich alle Meldungen der weltweiten Certs übernimmt sowie gegebenenfalls kommentiert.

Die Institution war als Projekt am Fachbereich Informatik der Universität Hamburg gegründet worden und wurde 1999 als DFN-CERT GmbH eigenständig. Geschäftsführer Hans-Joachim Mück begrüßte die Entscheidung des Cert/CC und stellte in Aussicht, sich dieser neuen Politik anzuschließen: "Unsere Kunden erhalten dadurch früher Bescheid über Sicherheitsprobleme und müssen sich die Informationen nicht im Internet zusammensuchen." Mück geht davon aus, dass auch andere Certs, wie etwa das des Bundesamtes für Sicherheit in der Informationstechnik (BSI), dem neuen Kurs folgen werden.