Abo
  • Services:

Wir sollen mit der Veröffentlichung von Details zurückhaltender sein

Golem.de: Nach den Skandalen der vergangenen Jahre, unter anderem den Snowden-Veröffentlichungen, gibt es viel Misstrauen gegenüber der IT-Industrie. Sind Transparenz und Informationen nicht wichtig, um wieder Vertrauen aufzubauen?

Stellenmarkt
  1. Eurowings Aviation GmbH, Köln
  2. mobilcom-debitel GmbH, Büdelsdorf

Vanunu: Wir alle wollen Informationen, wir verlangen danach. Zu Recht. Was ich mir vorstelle, ist ein Prozess, um bestimmte Software, die für Unternehmen und Konsumenten von besonderer Wichtigkeit ist, anders zu behandeln. Wir sollten einen Prozess definieren, der eine Zurückhaltung bei der Veröffentlichung von Details vorsieht.

Bei Sicherheitslücken mit der Einstufung "Hoch" und "Kritisch" könnte man darüber nachdenken, Details für einen bestimmten Zeitraum zurückzuhalten und nur eine ungefähre Angabe zu veröffentlichen. Die volle Disclosure mit allen technischen Details erfolgt dann etwas später, etwa nach sechs Monaten. Auch in den CVE-Details würde dann erst nur ein Abstract stehen, das später ergänzt wird.

Golem.de: Dieser Vorschlag könnte in der Security-Szene durchaus für Aufruhr sorgen. Nochmal die Frage: Würde die Geheimhaltung von Details nicht zu Verschwörungstheorien und Misstrauen führen?

Vanunu: Ja, das stimmt natürlich. Und es ist keine einfache, generische Entscheidung. Es ist auch eine schwierige Entscheidung, welche Software wir solchen Regeln unterwerfen sollten. Wir als IT-Sicherheitscommunity sollten einen Dialog darüber führen, welche Gefahren die größten sind und wie wir darauf am besten reagieren können. Wir sollten die großen drei, die großen fünf Firmen definieren, deren Software besondere Wichtigkeit hat.

"Wir kämpfen nicht mehr gegen gelangweilte Teenager"

Unser primäres Ziel als IT-Sicherheitscommunity ist es, die Nutzer von Software besser zu schützen. Wir sollten Cyberkriminelle aushungern und nicht mit Details füttern. Wir müssen den Zyklus unterbrechen, der Kriminelle mit immer mehr Informationen versorgt, mit denen sie dann Nutzer angreifen können. Wir müssen diesen Kreislauf unterbrechen.

Wir müssten dann natürlich gut erklären, warum wir das machen wollen, damit es nicht zu Misstrauen kommt. Aber wir müssen heute immer bedenken: Wir kämpfen nicht mehr gegen gelangweilte Teenager in ihrem Schlafzimmer. Cybercrime-Banden werden immer professioneller - und arbeiten teilweise auch mit Staaten zusammen.

Golem.de: Noch immer gibt es leider Fälle, in denen Hersteller monatelang nicht auf Berichte von Hackern und Sicherheitsforschern reagieren. Was sollte in diesem Fall geschehen?

Vanunu: Wenn Hersteller nicht reagieren, führt in den meisten Fällen kein Weg an Full Disclosure [der einseitigen, nicht abgesprochenen Veröffentlichung einer Sicherheitslücke durch den Entdecker, Anm. d. Redaktion] vorbei. Auch hier sollten die Entdecker aber versuchen, verantwortlich mit den Informationen umzugehen.

 Responsible Disclosure: "Wir sollten die Kriminellen aushungern"Security-Firmen sollten bessere interne Sicherheitsprozesse haben 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Hardware-Angebote
  1. 119,90€
  2. 1.299,00€
  3. 149,90€ + Versand (im Preisvergleich ab 184,95€)

cpt.dirk 11. Jun 2017

Die Praxis der vielen oftmals sogar völlig vertraulich und unternehmensfreundlich...

cpt.dirk 11. Jun 2017

Kann man so pauschal nicht sagen. Ein Großteil der proprietären Systeme "da draußen...

Baker 08. Jun 2017

Soweit ich es verstanden habe, ist das die Hauptaussage dieses "Experten". Klingt nicht...

Cok3.Zer0 07. Jun 2017

Wenn das Update dann überhaupt funktioniert. Sie haben's auf jeden Fall irgendwann im...

__destruct() 07. Jun 2017

Spätestens da bekommt doch jeder mit, was die Lücke ist, und gemäß dem, was auf der 1...


Folgen Sie uns
       


Radeon RX 590 - Test

Wir schauen uns AMDs Radeon RX 590 anhand der Nitro+ Special Edition von Sapphire genauer an: Die Grafikkarte nutzt den Polaris 30 genannten Chip, welcher im 12 nm statt im 14 nm Verfahren hergestellt wird.

Radeon RX 590 - Test Video aufrufen
Apple Mac Mini (Late 2018) im Test: Tolles teures Teil - aber für wen?
Apple Mac Mini (Late 2018) im Test
Tolles teures Teil - aber für wen?

Der Mac Mini ist ein gutes Gerät, wenngleich der Preis für die Einstiegsvariante von Apple arg hoch angesetzt wurde und mehr Speicher(platz) viel Geld kostet. Für 4K-Videoschnitt eignet sich der Mac Mini nur selten und generell fragen wir uns, wer ihn kaufen soll.
Ein Test von Marc Sauter

  1. Apple Mac Mini wird grau und schnell
  2. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

IMHO: Valves Ka-Ching mit der Brechstange
IMHO
Valves "Ka-Ching" mit der Brechstange

Es klingelt seit Jahren in den Kassen des Unternehmens von Gabe Newell. Dabei ist die Firma tief verschuldet - und zwar in den Herzen der Gamer.
Ein IMHO von Michael Wieczorek

  1. Artifact im Test Zusammengewürfelt und potenziell teuer
  2. Artifact Erste Kritik an Kosten von Valves Sammelkartenspiel
  3. Virtual Reality Valve arbeitet an VR-Headset und Half-Life-Titel

Sony-Kopfhörer WH-1000XM3 im Test: Eine Oase der Stille oder des puren Musikgenusses
Sony-Kopfhörer WH-1000XM3 im Test
Eine Oase der Stille oder des puren Musikgenusses

Wir haben die dritte Generation von Sonys Top-ANC-Kopfhörer getestet - vor allem bei der Geräuschreduktion hat sich einiges getan. Wer in lautem Getümmel seine Ruhe haben will, greift zum WH-1000XM3. Alle Nachteile der Vorgängermodelle hat Sony aber nicht behoben.
Ein Test von Ingo Pakalski


      •  /