Abo
  • Services:
Anzeige
Oded Vanunu ist bei Checkpoint für die Sicherheit der Produkte zuständig.
Oded Vanunu ist bei Checkpoint für die Sicherheit der Produkte zuständig. (Bild: Hauke Gierow)

Wir sollen mit der Veröffentlichung von Details zurückhaltender sein

Golem.de: Nach den Skandalen der vergangenen Jahre, unter anderem den Snowden-Veröffentlichungen, gibt es viel Misstrauen gegenüber der IT-Industrie. Sind Transparenz und Informationen nicht wichtig, um wieder Vertrauen aufzubauen?

Anzeige

Vanunu: Wir alle wollen Informationen, wir verlangen danach. Zu Recht. Was ich mir vorstelle, ist ein Prozess, um bestimmte Software, die für Unternehmen und Konsumenten von besonderer Wichtigkeit ist, anders zu behandeln. Wir sollten einen Prozess definieren, der eine Zurückhaltung bei der Veröffentlichung von Details vorsieht.

Bei Sicherheitslücken mit der Einstufung "Hoch" und "Kritisch" könnte man darüber nachdenken, Details für einen bestimmten Zeitraum zurückzuhalten und nur eine ungefähre Angabe zu veröffentlichen. Die volle Disclosure mit allen technischen Details erfolgt dann etwas später, etwa nach sechs Monaten. Auch in den CVE-Details würde dann erst nur ein Abstract stehen, das später ergänzt wird.

Golem.de: Dieser Vorschlag könnte in der Security-Szene durchaus für Aufruhr sorgen. Nochmal die Frage: Würde die Geheimhaltung von Details nicht zu Verschwörungstheorien und Misstrauen führen?

Vanunu: Ja, das stimmt natürlich. Und es ist keine einfache, generische Entscheidung. Es ist auch eine schwierige Entscheidung, welche Software wir solchen Regeln unterwerfen sollten. Wir als IT-Sicherheitscommunity sollten einen Dialog darüber führen, welche Gefahren die größten sind und wie wir darauf am besten reagieren können. Wir sollten die großen drei, die großen fünf Firmen definieren, deren Software besondere Wichtigkeit hat.

"Wir kämpfen nicht mehr gegen gelangweilte Teenager"

Unser primäres Ziel als IT-Sicherheitscommunity ist es, die Nutzer von Software besser zu schützen. Wir sollten Cyberkriminelle aushungern und nicht mit Details füttern. Wir müssen den Zyklus unterbrechen, der Kriminelle mit immer mehr Informationen versorgt, mit denen sie dann Nutzer angreifen können. Wir müssen diesen Kreislauf unterbrechen.

Wir müssten dann natürlich gut erklären, warum wir das machen wollen, damit es nicht zu Misstrauen kommt. Aber wir müssen heute immer bedenken: Wir kämpfen nicht mehr gegen gelangweilte Teenager in ihrem Schlafzimmer. Cybercrime-Banden werden immer professioneller - und arbeiten teilweise auch mit Staaten zusammen.

Golem.de: Noch immer gibt es leider Fälle, in denen Hersteller monatelang nicht auf Berichte von Hackern und Sicherheitsforschern reagieren. Was sollte in diesem Fall geschehen?

Vanunu: Wenn Hersteller nicht reagieren, führt in den meisten Fällen kein Weg an Full Disclosure [der einseitigen, nicht abgesprochenen Veröffentlichung einer Sicherheitslücke durch den Entdecker, Anm. d. Redaktion] vorbei. Auch hier sollten die Entdecker aber versuchen, verantwortlich mit den Informationen umzugehen.

 Responsible Disclosure: "Wir sollten die Kriminellen aushungern"Security-Firmen sollten bessere interne Sicherheitsprozesse haben 

eye home zur Startseite
cpt.dirk 11. Jun 2017

Die Praxis der vielen oftmals sogar völlig vertraulich und unternehmensfreundlich...

cpt.dirk 11. Jun 2017

Kann man so pauschal nicht sagen. Ein Großteil der proprietären Systeme "da draußen...

Baker 08. Jun 2017

Soweit ich es verstanden habe, ist das die Hauptaussage dieses "Experten". Klingt nicht...

Cok3.Zer0 07. Jun 2017

Wenn das Update dann überhaupt funktioniert. Sie haben's auf jeden Fall irgendwann im...

__destruct() 07. Jun 2017

Spätestens da bekommt doch jeder mit, was die Lücke ist, und gemäß dem, was auf der 1...



Anzeige

Stellenmarkt
  1. Gamomat Distribution GmbH, Wagenfeld
  2. HMS Industrial Networks GmbH, Karlsruhe
  3. Vodafone GmbH, Düsseldorf
  4. über JBH-Management- & Personalberatung Herget, keine Angabe


Anzeige
Hardware-Angebote
  1. 237,90€ + 5,99€ Versand bei Alternate.de
  2. 129,99€ (219,98€ für zwei)

Folgen Sie uns
       


  1. WD20SPZX

    Auch Western Digital bringt flache 2-TByte-HDD

  2. Metal Gear Survive im Test

    Himmelfahrtskommando ohne Solid Snake

  3. Cloud IoT Core

    Googles Cloud verwaltet weltweit IoT-Anlagen

  4. Schweden

    Netzbetreiber bietet 10 GBit/s für 45 Euro

  5. Reverse Engineering

    Das Xiaomi-Ökosystem vom Hersteller befreien

  6. Fritzbox 7583

    AVM zeigt neuen Router für diverse Vectoring-Techniken

  7. Halbleiterwerk

    Samsung rüstet Fab 3 für sechs Milliarden US-Dollar auf

  8. Archos Hello

    Smarter Lautsprecher mit vollwertigem Android

  9. Automaton Games

    Mavericks will Battle Royale für bis zu 400 Spieler bieten

  10. Sipgate

    App Satellite hat Probleme mit dem Vodafone-Netz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Age of Empires Definitive Edition Test: Trotz neuem Look zu rückständig
Age of Empires Definitive Edition Test
Trotz neuem Look zu rückständig
  1. Echtzeit-Strategie Definitive Edition von Age of Empires hat neuen Termin
  2. Matt Booty Mr. Minecraft wird neuer Spiele-Chef bei Microsoft
  3. Vorschau Spielejahr 2018 Zwischen Kuhstall und knallrümpfigen Krötern

Homepod im Test: Smarter Lautsprecher für den Apple-affinen Popfan
Homepod im Test
Smarter Lautsprecher für den Apple-affinen Popfan
  1. Rückstände Homepod macht weiße Ringe auf Holzmöbeln
  2. Smarter Lautsprecher Homepod schwer reparierbar
  3. Smarter Lautsprecher Homepod-Reparaturen kosten fast so viel wie ein neues Gerät

HP Omen X VR im Test: VR auf dem Rücken kann nur teils entzücken
HP Omen X VR im Test
VR auf dem Rücken kann nur teils entzücken
  1. 3D Rudder Blackhawk Mehr Frags mit Fußschlaufen
  2. Kreativ-Apps für VR-Headsets Austoben im VR-Atelier
  3. Apps und Games für VR-Headsets Der virtuelle Blade Runner und Sport mit Sparc

  1. Re: ich lebe in Södermalm

    tingelchen | 14:54

  2. Re: Wo ist denn der S0 Bus versteckt?

    RipClaw | 14:54

  3. Re: Sauerei

    DooMMasteR | 14:51

  4. Dringende Fragen

    Zibidaeus | 14:51

  5. Re: 7590 > 7583 Wer soll bei den Bezeichnungen...

    RipClaw | 14:48


  1. 14:47

  2. 14:10

  3. 13:49

  4. 12:32

  5. 12:00

  6. 11:29

  7. 11:07

  8. 10:52


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel