• IT-Karriere:
  • Services:

Wir sollen mit der Veröffentlichung von Details zurückhaltender sein

Golem.de: Nach den Skandalen der vergangenen Jahre, unter anderem den Snowden-Veröffentlichungen, gibt es viel Misstrauen gegenüber der IT-Industrie. Sind Transparenz und Informationen nicht wichtig, um wieder Vertrauen aufzubauen?

Stellenmarkt
  1. ALTANA Management Services GmbH, Wesel bei Düsseldorf
  2. OEDIV KG, Bielefeld

Vanunu: Wir alle wollen Informationen, wir verlangen danach. Zu Recht. Was ich mir vorstelle, ist ein Prozess, um bestimmte Software, die für Unternehmen und Konsumenten von besonderer Wichtigkeit ist, anders zu behandeln. Wir sollten einen Prozess definieren, der eine Zurückhaltung bei der Veröffentlichung von Details vorsieht.

Bei Sicherheitslücken mit der Einstufung "Hoch" und "Kritisch" könnte man darüber nachdenken, Details für einen bestimmten Zeitraum zurückzuhalten und nur eine ungefähre Angabe zu veröffentlichen. Die volle Disclosure mit allen technischen Details erfolgt dann etwas später, etwa nach sechs Monaten. Auch in den CVE-Details würde dann erst nur ein Abstract stehen, das später ergänzt wird.

Golem.de: Dieser Vorschlag könnte in der Security-Szene durchaus für Aufruhr sorgen. Nochmal die Frage: Würde die Geheimhaltung von Details nicht zu Verschwörungstheorien und Misstrauen führen?

Vanunu: Ja, das stimmt natürlich. Und es ist keine einfache, generische Entscheidung. Es ist auch eine schwierige Entscheidung, welche Software wir solchen Regeln unterwerfen sollten. Wir als IT-Sicherheitscommunity sollten einen Dialog darüber führen, welche Gefahren die größten sind und wie wir darauf am besten reagieren können. Wir sollten die großen drei, die großen fünf Firmen definieren, deren Software besondere Wichtigkeit hat.

"Wir kämpfen nicht mehr gegen gelangweilte Teenager"

Unser primäres Ziel als IT-Sicherheitscommunity ist es, die Nutzer von Software besser zu schützen. Wir sollten Cyberkriminelle aushungern und nicht mit Details füttern. Wir müssen den Zyklus unterbrechen, der Kriminelle mit immer mehr Informationen versorgt, mit denen sie dann Nutzer angreifen können. Wir müssen diesen Kreislauf unterbrechen.

Wir müssten dann natürlich gut erklären, warum wir das machen wollen, damit es nicht zu Misstrauen kommt. Aber wir müssen heute immer bedenken: Wir kämpfen nicht mehr gegen gelangweilte Teenager in ihrem Schlafzimmer. Cybercrime-Banden werden immer professioneller - und arbeiten teilweise auch mit Staaten zusammen.

Golem.de: Noch immer gibt es leider Fälle, in denen Hersteller monatelang nicht auf Berichte von Hackern und Sicherheitsforschern reagieren. Was sollte in diesem Fall geschehen?

Vanunu: Wenn Hersteller nicht reagieren, führt in den meisten Fällen kein Weg an Full Disclosure [der einseitigen, nicht abgesprochenen Veröffentlichung einer Sicherheitslücke durch den Entdecker, Anm. d. Redaktion] vorbei. Auch hier sollten die Entdecker aber versuchen, verantwortlich mit den Informationen umzugehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Responsible Disclosure: "Wir sollten die Kriminellen aushungern"Security-Firmen sollten bessere interne Sicherheitsprozesse haben 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Spiele-Angebote
  1. 32,99€
  2. 12,99€

cpt.dirk 11. Jun 2017

Die Praxis der vielen oftmals sogar völlig vertraulich und unternehmensfreundlich...

cpt.dirk 11. Jun 2017

Kann man so pauschal nicht sagen. Ein Großteil der proprietären Systeme "da draußen...

Baker 08. Jun 2017

Soweit ich es verstanden habe, ist das die Hauptaussage dieses "Experten". Klingt nicht...

Cok3.Zer0 07. Jun 2017

Wenn das Update dann überhaupt funktioniert. Sie haben's auf jeden Fall irgendwann im...

__destruct() 07. Jun 2017

Spätestens da bekommt doch jeder mit, was die Lücke ist, und gemäß dem, was auf der 1...


Folgen Sie uns
       


Amazon: Der Echo wird kugelig
Amazon
Der Echo wird kugelig

Zäsur bei Amazon: Alle neuen Echo-Lautsprecher haben ein komplett neues Design erhalten.

  1. Echo Auto im Test Tolle Sprachsteuerung und neue Alexa-Funktionen
  2. Echo Auto Amazon bringt Alexa für 60 Euro ins Auto

Beoplay H95 im Test: Toller Klang, aber für 800 Euro zu schwache ANC-Leistung
Beoplay H95 im Test
Toller Klang, aber für 800 Euro zu schwache ANC-Leistung

Der Beoplay H95 ist ein ANC-Kopfhörer mit einem tollen Klang. Aber wer dafür viel Geld ausgibt, muss sich mit einigen Kompromissen abfinden.
Ein Test von Ingo Pakalski


    Leben auf dem Ozean: Reif für die autarke Insel
    Leben auf dem Ozean
    Reif für die autarke Insel

    Die nachhaltige Heimat der Zukunft? Ein EU-Projekt forscht an modularen schwimmenden Inseln, die ihre Energie selbst erzeugen.
    Ein Bericht von Monika Rößiger

    1. Umweltschutz Verbrennerverbot ab 2035 in Kalifornien
    2. Mindestens 55 Prozent Von der Leyen verschärft EU-Klimaziele deutlich
    3. Klimaschutz Studie fordert Verkaufsverbot für Verbrenner ab 2028

      •  /