Abo
  • Services:
Anzeige
Oded Vanunu ist bei Checkpoint für die Sicherheit der Produkte zuständig.
Oded Vanunu ist bei Checkpoint für die Sicherheit der Produkte zuständig. (Bild: Hauke Gierow)

Wir sollen mit der Veröffentlichung von Details zurückhaltender sein

Golem.de: Nach den Skandalen der vergangenen Jahre, unter anderem den Snowden-Veröffentlichungen, gibt es viel Misstrauen gegenüber der IT-Industrie. Sind Transparenz und Informationen nicht wichtig, um wieder Vertrauen aufzubauen?

Vanunu: Wir alle wollen Informationen, wir verlangen danach. Zu Recht. Was ich mir vorstelle, ist ein Prozess, um bestimmte Software, die für Unternehmen und Konsumenten von besonderer Wichtigkeit ist, anders zu behandeln. Wir sollten einen Prozess definieren, der eine Zurückhaltung bei der Veröffentlichung von Details vorsieht.

Anzeige

Bei Sicherheitslücken mit der Einstufung "Hoch" und "Kritisch" könnte man darüber nachdenken, Details für einen bestimmten Zeitraum zurückzuhalten und nur eine ungefähre Angabe zu veröffentlichen. Die volle Disclosure mit allen technischen Details erfolgt dann etwas später, etwa nach sechs Monaten. Auch in den CVE-Details würde dann erst nur ein Abstract stehen, das später ergänzt wird.

Golem.de: Dieser Vorschlag könnte in der Security-Szene durchaus für Aufruhr sorgen. Nochmal die Frage: Würde die Geheimhaltung von Details nicht zu Verschwörungstheorien und Misstrauen führen?

Vanunu: Ja, das stimmt natürlich. Und es ist keine einfache, generische Entscheidung. Es ist auch eine schwierige Entscheidung, welche Software wir solchen Regeln unterwerfen sollten. Wir als IT-Sicherheitscommunity sollten einen Dialog darüber führen, welche Gefahren die größten sind und wie wir darauf am besten reagieren können. Wir sollten die großen drei, die großen fünf Firmen definieren, deren Software besondere Wichtigkeit hat.

"Wir kämpfen nicht mehr gegen gelangweilte Teenager"

Unser primäres Ziel als IT-Sicherheitscommunity ist es, die Nutzer von Software besser zu schützen. Wir sollten Cyberkriminelle aushungern und nicht mit Details füttern. Wir müssen den Zyklus unterbrechen, der Kriminelle mit immer mehr Informationen versorgt, mit denen sie dann Nutzer angreifen können. Wir müssen diesen Kreislauf unterbrechen.

Wir müssten dann natürlich gut erklären, warum wir das machen wollen, damit es nicht zu Misstrauen kommt. Aber wir müssen heute immer bedenken: Wir kämpfen nicht mehr gegen gelangweilte Teenager in ihrem Schlafzimmer. Cybercrime-Banden werden immer professioneller - und arbeiten teilweise auch mit Staaten zusammen.

Golem.de: Noch immer gibt es leider Fälle, in denen Hersteller monatelang nicht auf Berichte von Hackern und Sicherheitsforschern reagieren. Was sollte in diesem Fall geschehen?

Vanunu: Wenn Hersteller nicht reagieren, führt in den meisten Fällen kein Weg an Full Disclosure [der einseitigen, nicht abgesprochenen Veröffentlichung einer Sicherheitslücke durch den Entdecker, Anm. d. Redaktion] vorbei. Auch hier sollten die Entdecker aber versuchen, verantwortlich mit den Informationen umzugehen.

 Responsible Disclosure: "Wir sollten die Kriminellen aushungern"Security-Firmen sollten bessere interne Sicherheitsprozesse haben 

eye home zur Startseite
cpt.dirk 11. Jun 2017

Die Praxis der vielen oftmals sogar völlig vertraulich und unternehmensfreundlich...

Themenstart

cpt.dirk 11. Jun 2017

Kann man so pauschal nicht sagen. Ein Großteil der proprietären Systeme "da draußen...

Themenstart

Baker 08. Jun 2017

Soweit ich es verstanden habe, ist das die Hauptaussage dieses "Experten". Klingt nicht...

Themenstart

Cok3.Zer0 07. Jun 2017

Wenn das Update dann überhaupt funktioniert. Sie haben's auf jeden Fall irgendwann im...

Themenstart

__destruct() 07. Jun 2017

Spätestens da bekommt doch jeder mit, was die Lücke ist, und gemäß dem, was auf der 1...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. GiPsy Software Solutions GmbH, Asbach
  2. EAE Engineering Automation Electronics GmbH, Ahrensburg bei Hamburg
  3. ADWEKO Consulting GmbH, deutschlandweit
  4. Robert Bosch GmbH, Stuttgart-Feuerbach


Anzeige
Blu-ray-Angebote
  1. (u. a. The Revenant 7,97€, James Bond Spectre 7,97€, Der Marsianer 7,97€)
  2. (u. a. 2 Guns, Bad Boys 2, Captain Phillips, Chappie, Christine)
  3. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       


  1. Landkreis Plön

    Tele Columbus bringt Gigabit-Zugänge in 15.000 Haushalte

  2. Innovation Days

    Ericsson liefert Basisstation an 5G Lab Germany

  3. Für Lokalsender

    Kabelnetzbetreiber wollen 250 Millionen Euro Rundfunkgebühr

  4. Linux-Kernel-Security

    Torvalds bezeichnet Grsecurity als "Müll"

  5. Zolo Liberty Plus

    Drahtlose Ohrstöpsel auf Kickstarter für nur 100 US-Dollar

  6. Eckpunkte

    Bundesnetzagentur sieht 5G bei 2 GHz und 3.400 bis 3.700 MHz

  7. Internet sofort

    Das Warten auf den Festnetzanschluss kann teuer werden

  8. Ransomware

    Petya-Kampagne nutzt Lücke in Buchhaltungssoftware

  9. 10 GBit/s

    Erste 5G-Endgeräte sind noch einen Kubikmeter groß

  10. Engine

    Unity will Kamerafahrten fast automatisch generieren



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Neues iPad Pro im Test: Von der Hardware her ein Laptop
Neues iPad Pro im Test
Von der Hardware her ein Laptop
  1. iFixit iPad Pro 10,5 Zoll intern ein geschrumpftes 12,9 Zoll Modell
  2. Office kostenpflichtig Das iPad Pro 10,5 Zoll ist Microsoft zu groß
  3. Hintergrundbeleuchtung Logitech bringt Hülle mit abnehmbarer Tastatur für iPad Pro

Anki Cozmo ausprobiert: Niedlicher Programmieren lernen und spielen
Anki Cozmo ausprobiert
Niedlicher Programmieren lernen und spielen

Mieten bei Ottonow und Media Markt: Miet mich!
Mieten bei Ottonow und Media Markt
Miet mich!
  1. Online-Handel Websperren sollen Verbraucherschutz stärken
  2. United-Internet-Übernahme Drillisch will weg von Billigangeboten
  3. Übernahmen Extreme Networks will eine Branchengröße werden

  1. Re: Sieht aus wie ein Surface Pro

    redmord | 17:31

  2. Re: Sachlichkeit bitte. Es geht um viel!

    Wallbreaker | 17:30

  3. Re: Trolle hierher..

    DeathMD | 17:29

  4. Re: Hotspot mit Handy?

    ckerazor | 17:28

  5. Re: Fordert da gerade wirklich die private Wirtschaft

    Single Density | 17:27


  1. 17:10

  2. 16:17

  3. 14:54

  4. 14:39

  5. 14:13

  6. 13:22

  7. 12:03

  8. 11:59


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel