Organisation will Regeln für Behandlung von Sicherheitslücken festlegen

OIS soll Frieden zwischen Softwareentwicklern und Sicherheitsforschern sichern

Elf Software- und Computersicherheits-Unternehmen haben gemeinsam eine Organisation für Software-Sicherheit (OIS) offiziell aus der Taufe gehoben. Die „Organisation for Internet Safety“ soll nach dem Wunsch der Gründungsmitglieder „standardisierte und allgemein anerkannte Richtlinien für die Behandlung von Sicherheitslücken“ festlegen.

Bereits im vergangenen Frühjahr hatten die OIS-Mitglieder einen ersten Vorschlag an die Internet Engineering Task Force übermittelt, der allerdings abgelehnt wurde. Demnach sollten Softwareunternehmen innerhalb einer Woche auf eine Benachrichtigung zu einer Sicherheitslücke von einem Sicherheits-Forscher antworten. Die Sicherheitsunternehmen räumen dafür den Softwareentwicklern eine Frist von 30 Tagen ein, bevor sie mit ihren Informationen an die Öffentlichkeit gehen.

Mit diesen allgemeinen Regeln wollen die Unternehmen vor allem auch den ständigen Widerspruch zwischen unabhängigen Sicherheits-Forschern und -Unternehmen auf der einen Seite sowie der Softwareindustrie auf der anderen Seite auflösen. Sicherheits-Forscher und -Unternehmen veröffentlichen oft ihre Ergebnisse, um ihre Kunden schneller zu warnen oder ein möglichst großes Medienecho zu erhalten, wie ihre Kritiker oft meinen. Die Softwareunternehmen wiederum sind daran interessiert, die Sicherheitslücken ihrer Anwendungen möglichst ohne großes Aufsehen zu schließen oder ihre Verfehlungen zuzudecken, wie der Vorwurf aus dem Gegenlager lautet.

Bis zum kommenden Frühjahr planen die elf Unternehmen allgemein akzeptierte Richtlinien über die Veröffentlichung von Sicherheitslücken zu veröffentlichen. Dabei sollen die Interessen beider Seiten berücksichtigt werden. Die Gründungsmitgliedern von OIS sind @stake, BindView, Caldera, Foundstone, Guardent, Internet Security Systems, Microsoft, Network Associates, Oracle, SGI und Symantec.