Mit einer ungewöhnlichen (Marketing-)Aktion macht 3Com-Tochter TippingPoint auf sich aufmerksam. Das Unternehmen verspricht, Sicherheitsmängel in Produkten aller Hersteller künftig finanziell zu belohnen.
Für dieses Ansinnen macht der Sicherheitsspezialist, 2004 von 3Com gekauft, folgende Bedingungen geltend: Setzt man die dessen Intrusion Detection-Software ein, verhindert sie Exploits, bis ein offizieller Hersteller-Patch veröffentlicht wurde.
Die 3Com-Tocher will laut David Endler, Director of Security Research bei Tippingpoint, "unabhängige Forschung im Bereich Security belohnen und fördern, die verantwortungsvolle Veröffentlichung von Lücken promoten" - und ganz nebenbei " 3Com-Kunden mit dem besten Schutz versorgen".
Die nicht näher spezifizierten Zahlungen für gefundene Löcher sollen im Rahmen der Mitte Juli gestarteten "Zero Day Initiative" gewährt werden, die am gestrigen Montag in Las Vegas vorgestellt wurde.
Auf einer dafür eingerichteten Website kann wer auch immer eine Lücke melden; dann macht Tippingpoint ein finanzielles Angebot, abhängig von der Tragweite des Problems. Zuerst werde der eigene Kundenstamm geschützt - wer auch sonst? Dann, mit zeitlicher Verzögerung, sollen konkurrierende Hersteller von Intrusion Detection-Systemen (IDS) informiert werden.
Wie viele Freunde sich 3Com mit dieser Aktion macht, erscheint im Moment offen. Negativ dürfte sich auswirken, dass 3Com Hackern auffordert, sich in den Unternehmensnetzen umzusehen, um Geld mit Sicherheitslücken zu machen. Dass darüber hinaus Patches für Produkte von andren Anbietern diesen erst mit zeitlicher Verzögerung bekannt gemacht werden, trägt nicht zu sicheren Netzen bei. Das jedenfalls ist die Meinung amerikanischer Analysten wie beispielsweise von John Pescatore, der bei Gartner Sicherheit untersucht.
Zeus Kerravala von Marktforscher Yankee Group, sieht das anders. Er hält die Initiative für einen Schritt in die richtige Richtung - nämlich in die, dass Anbieter bei Sicherheit zusammen arbeitetn.
Bei der strittigen Frage der Patches für Fremdanbieter sagte er, er sei sich sicher, dass 3Com von Wettbewerbern sehr genau beobachtet werde, wie schnell das Unternehmen solche Patches, nachdem ein Exploit gemeldet wurde, erarbeiten würde. Sollten es Exploits von Fremdanbietern deutlich langsamer bearbeiten als die für eigen Produkte - dann allerdings bekäme 3Com ein ernstes Problem. Aber davon gehe er nicht aus.
Im Gegenteil: Durch die Initiative schaffe 3Com ein erstes Repository für IDS-Sicherheitsmängel. (wl)