Der unter Federführung Microsofts erstellte Vorschlag zur „verantwortungsbewussten Veröffentlichung von Sicherheitslücken" ("Responsible Vulnerability Disclosure Process") ist vom Tisch. Der erste Entwurf wurde vom Board der IETF (Internet Engineering Task Force) genommen. Die Begründung des IEFTs ist lakonisch: Die Mitglieder sähen ihre Aufgabe nicht darin, menschliche Verhaltensweisen zu standardisieren. Der Vorschlag hatte Aufsehen und Anwenderproteste erregt, da mit ihm folgende Vorgehensweise bei Sicherheitslöchern verbindlich hätte werden sollen: Entdecker einer Sicherheitslücke sollen zuerst den Hersteller des Produkts benachrichtigen.. Dieser müsse ihm binnen einer Woche den Erhalt der Meldung bestätigen und ihn regelmäßig über den Stand seiner Anstrengungen, das Loch zu stopfen, informieren. Habe der Hersteller nach 30 Tagen noch keinen Patch geschrieben, dürften er oder der Entdecker Informationen zu dem Sicherheitsproblem zu veröffentlichen. Ferner könne der Hersteller die Frist mit Begründung um weitere 30 Tage verlängern. Anwender hatten den Vorschlag kritisiert: Die Informationsprozedur und die Frist sei zu lang; ihr Recht auf Information über die Auswirkungen und Art der unsicheren Software sei nicht gewährleistet. Noch immer gibt es kein anwenderfreundliche Regelwerk für Sicherheitsflecken (Patches); die bis heute übliche Informations- und Patcheshandhabung vieler Anbieter ist für Anwender, die sich mit Sicherheitslöchern plagen müssen, wenig hilfreich. Doch solange nicht geklärt ist, ob Urheberrechte an Software nicht auch schnellstmögliche und präzise Information zur Fehlerbeseitigung impliziert, bleibt es bei der oft eher zufälligen und unsystematischen Informations- und Patches-Handhabung. (wl)
22.03.2002
Der unter Federführung Microsofts erstellte Vorschlag zur „verantwortungsbewussten Veröffentlichung von Sicherheitslücken" ("Responsible Vulnerability Disclosure Process") ist vom Tisch. Der erste Entwurf wurde vom Board der IETF (Internet Engineering Task Force) genommen. Die Begründung des IEFTs ist lakonisch: Die Mitglieder sähen ihre Aufgabe nicht darin, menschliche Verhaltensweisen zu standardisieren. Der Vorschlag hatte Aufsehen und Anwenderproteste erregt, da mit ihm folgende Vorgehensweise bei Sicherheitslöchern verbindlich hätte werden sollen: Entdecker einer Sicherheitslücke sollen zuerst den Hersteller des Produkts benachrichtigen.. Dieser müsse ihm binnen einer Woche den Erhalt der Meldung bestätigen und ihn regelmäßig über den Stand seiner Anstrengungen, das Loch zu stopfen, informieren. Habe der Hersteller nach 30 Tagen noch keinen Patch geschrieben, dürften er oder der Entdecker Informationen zu dem Sicherheitsproblem zu veröffentlichen. Ferner könne der Hersteller die Frist mit Begründung um weitere 30 Tage verlängern. Anwender hatten den Vorschlag kritisiert: Die Informationsprozedur und die Frist sei zu lang; ihr Recht auf Information über die Auswirkungen und Art der unsicheren Software sei nicht gewährleistet. Noch immer gibt es kein anwenderfreundliche Regelwerk für Sicherheitsflecken (Patches); die bis heute übliche Informations- und Patcheshandhabung vieler Anbieter ist für Anwender, die sich mit Sicherheitslöchern plagen müssen, wenig hilfreich. Doch solange nicht geklärt ist, ob Urheberrechte an Software nicht auch schnellstmögliche und präzise Information zur Fehlerbeseitigung impliziert, bleibt es bei der oft eher zufälligen und unsystematischen Informations- und Patches-Handhabung. (wl)