Abo
  • Services:

Wir sollen mit der Veröffentlichung von Details zurückhaltender sein

Golem.de: Nach den Skandalen der vergangenen Jahre, unter anderem den Snowden-Veröffentlichungen, gibt es viel Misstrauen gegenüber der IT-Industrie. Sind Transparenz und Informationen nicht wichtig, um wieder Vertrauen aufzubauen?

Stellenmarkt
  1. Hannover Rück SE, Hannover
  2. Diamant Software GmbH & Co. KG, Bielefeld

Vanunu: Wir alle wollen Informationen, wir verlangen danach. Zu Recht. Was ich mir vorstelle, ist ein Prozess, um bestimmte Software, die für Unternehmen und Konsumenten von besonderer Wichtigkeit ist, anders zu behandeln. Wir sollten einen Prozess definieren, der eine Zurückhaltung bei der Veröffentlichung von Details vorsieht.

Bei Sicherheitslücken mit der Einstufung "Hoch" und "Kritisch" könnte man darüber nachdenken, Details für einen bestimmten Zeitraum zurückzuhalten und nur eine ungefähre Angabe zu veröffentlichen. Die volle Disclosure mit allen technischen Details erfolgt dann etwas später, etwa nach sechs Monaten. Auch in den CVE-Details würde dann erst nur ein Abstract stehen, das später ergänzt wird.

Golem.de: Dieser Vorschlag könnte in der Security-Szene durchaus für Aufruhr sorgen. Nochmal die Frage: Würde die Geheimhaltung von Details nicht zu Verschwörungstheorien und Misstrauen führen?

Vanunu: Ja, das stimmt natürlich. Und es ist keine einfache, generische Entscheidung. Es ist auch eine schwierige Entscheidung, welche Software wir solchen Regeln unterwerfen sollten. Wir als IT-Sicherheitscommunity sollten einen Dialog darüber führen, welche Gefahren die größten sind und wie wir darauf am besten reagieren können. Wir sollten die großen drei, die großen fünf Firmen definieren, deren Software besondere Wichtigkeit hat.

"Wir kämpfen nicht mehr gegen gelangweilte Teenager"

Unser primäres Ziel als IT-Sicherheitscommunity ist es, die Nutzer von Software besser zu schützen. Wir sollten Cyberkriminelle aushungern und nicht mit Details füttern. Wir müssen den Zyklus unterbrechen, der Kriminelle mit immer mehr Informationen versorgt, mit denen sie dann Nutzer angreifen können. Wir müssen diesen Kreislauf unterbrechen.

Wir müssten dann natürlich gut erklären, warum wir das machen wollen, damit es nicht zu Misstrauen kommt. Aber wir müssen heute immer bedenken: Wir kämpfen nicht mehr gegen gelangweilte Teenager in ihrem Schlafzimmer. Cybercrime-Banden werden immer professioneller - und arbeiten teilweise auch mit Staaten zusammen.

Golem.de: Noch immer gibt es leider Fälle, in denen Hersteller monatelang nicht auf Berichte von Hackern und Sicherheitsforschern reagieren. Was sollte in diesem Fall geschehen?

Vanunu: Wenn Hersteller nicht reagieren, führt in den meisten Fällen kein Weg an Full Disclosure [der einseitigen, nicht abgesprochenen Veröffentlichung einer Sicherheitslücke durch den Entdecker, Anm. d. Redaktion] vorbei. Auch hier sollten die Entdecker aber versuchen, verantwortlich mit den Informationen umzugehen.

 Responsible Disclosure: "Wir sollten die Kriminellen aushungern"Security-Firmen sollten bessere interne Sicherheitsprozesse haben 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Top-Angebote
  1. 104,90€ + 5,99€ Versand oder versandkostenfrei bei Zahlung mit paydirekt oder 25€ Rabatt bei...
  2. (u. a. HTC U Ultra für 199€ statt 249,95€ im Vergleich)
  3. 239,90€ + 5,99€ Versand oder versandkostenfrei bei Zahlung mit paydirekt oder 25€ Rabatt bei...

cpt.dirk 11. Jun 2017

Die Praxis der vielen oftmals sogar völlig vertraulich und unternehmensfreundlich...

cpt.dirk 11. Jun 2017

Kann man so pauschal nicht sagen. Ein Großteil der proprietären Systeme "da draußen...

Baker 08. Jun 2017

Soweit ich es verstanden habe, ist das die Hauptaussage dieses "Experten". Klingt nicht...

Cok3.Zer0 07. Jun 2017

Wenn das Update dann überhaupt funktioniert. Sie haben's auf jeden Fall irgendwann im...

__destruct() 07. Jun 2017

Spätestens da bekommt doch jeder mit, was die Lücke ist, und gemäß dem, was auf der 1...


Folgen Sie uns
       


Sonos Beam im Hands on

Beam ist Sonos' erste smarte Soundbar und läuft mit Amazons Alexa. Im Zusammenspiel mit einem Fire-TV-Gerät kann dieses bequem mit Beam mit der Stimme bedient werden. Die Beam-Soundbar von Sonos kostet 450 Euro und soll am 17. Juli 2018 erscheinen.

Sonos Beam im Hands on Video aufrufen
Leistungsschutzrecht/Uploadfilter: Worüber das Europaparlament wirklich abstimmt
Leistungsschutzrecht/Uploadfilter
Worüber das Europaparlament wirklich abstimmt

Das Europaparlament entscheidet am Donnerstag über das Leistungsschutzrecht und Uploadfilter. Doch Gegner und Befürworter streiten bis zuletzt, worüber eigentlich abgestimmt wird. Golem.de analysiert die Vorschläge.
Eine Analyse von Friedhelm Greis

  1. Urheberrecht Europaparlament bremst Leistungsschutzrecht und Uploadfilter
  2. Urheberrecht Freies Netz für freie Bürger
  3. Leistungsschutzrecht Verleger attackieren Bär und Jarzombek scharf

Samsung Flip im Test: Brainstorming mit Essstäbchen und nebenbei Powerpoint
Samsung Flip im Test
Brainstorming mit Essstäbchen und nebenbei Powerpoint

Ob mit dem Finger, dem Holzstift oder Essstäbchen: Vor dem Smartboard Samsung Flip sammeln sich in unserem Test schnell viele Mitarbeiter und schreiben darauf. Nebenbei läuft Microsoft Office auf einem drahtlos verbundenen Notebook. Manche Vorteile gehen jedoch auf Kosten der Bedienbarkeit.
Ein Test von Oliver Nickel

  1. Indien Samsung eröffnet weltgrößte Smartphone-Fabrik
  2. Foundry Samsung aktualisiert Node-Roadmap bis 3 nm
  3. Bug Samsungs Messenger-App verschickt ungewollt Fotos

VR-Rundschau: Retten rockende Jedi-Ritter die virtuelle Realität?
VR-Rundschau
Retten rockende Jedi-Ritter die virtuelle Realität?

Der mediale Hype um VR ist zwar abgeflaut, spannende Inhalte dafür gibt es aber weiterhin - und das nicht nur im Games-Bereich. Mit dabei: das beliebteste Spiel bei Steam, Jedi-Ritter auf Speed und ägyptische Grabkammern.
Ein Test von Achim Fehrenbach

  1. Oculus Core 2.0 Windows 10 wird Minimalanforderung für Oculus Rift
  2. Virtual Reality BBC überträgt Fußball-WM in der virtuellen VIP-Loge
  3. VR-Brillen Google experimentiert mit Lichtfeldfotografie

    •  /