Hersteller betroffener Produkte erhalten 30 Tage zur Entwicklung von Gegenmaßnahmen
STUTTGART 03. Dezember 2002. Internet Security Systems (ISS) hat seine Richtlinien für den Bekanntgabe-Prozess von Schwachstellen veröffentlicht. Binnen 24 Stunden nach der Entdeckung eines Lecks informiert der Anbieter von Sicherheits-Management-Lösungen den Hersteller betroffener Soft- oder Hardware. Bis zur Benachrichtigung der Öffentlichkeit hat dieser dann 30 Tage Zeit, geeignete Gegenmaßnahmen zu entwickeln. Kunden, die den ISS X-Force Threat Analysis Service (XFTAS) abonniert haben, wird die Existenz des Sicherheitslochs bereits nach einem Tag mitgeteilt. Nach Ansicht der Security-Experten ist damit ein fairer Ausgleich hergestellt zwischen den Interessen der Hersteller und der Sorgfaltspflicht, die ISS seinen Kunden gegenüber hat.
Enge Abstimmung mit der Organization for Internet Safety (OIS)
Während der 30-tägigen Frist beschäftigen sich die ISS-Spezialisten der X-Force weiterhin mit dem Sicherheitsleck. Abhängig vom Problem und den Erkenntnissen der Experten, unterstützen sie den Hersteller zum Beispiel mit Informationen über Exploits. Patches, die der Hersteller entwickelt, können von der X-Force auf ihre Funktionsfähigkeit getestet werden. Bevor ISS schließlich die Öffentlichkeit informiert, wird die schriftliche Mitteilung, das "Security Advisory", mit dem Hersteller abgestimmt. Diese Richtlinien gelten gleichermaßen für alle Anbieter kommerzieller Security-Produkte sowie für sämtliche Open-Source-Projekte.
Unter bestimmten Voraussetzungen behält sich ISS die Möglichkeit vor, von der 30-Tages-Frist abzusehen. Etwa wenn der Hersteller vorzeitig einen Patch zur Verfügung stellt oder selbst mit der Nachricht an die Öffentlichkeit geht. Das gleiche gilt für den Fall, dass ISS die aktive Ausnutzung der Schwachstelle im Internet beobachtet oder von der freien Verfügbarkeit eines Exploits erfährt.
Die jetzt veröffentlichten Richtlinien hat ISS in enger Abstimmung mit der Organization for Internet Safety (OIS) entwickelt. Der im Frühjahr 2002 gegründete Verbund will Konsens zwischen Security-Anbietern und Software-Herstellern über die Bekanntgabe-Praxis von Sicherheitslücken herstellen. Neben dem Mitbegründer ISS sind weitere zehn Unternehmen in der OIS versammelt, darunter Microsoft, Oracle und Network Associates.
Nachzulesen sind die Richtlinien auf der Webseite von ISS unter http://documents.iss.net/....
Weitere Informationen:
Internet Security Systems
Constanze Liebenau
Schockenriedstrasse 4A
D-70565 Stuttgart
Telefon: 07 11 / 78 19 08 - 0
Telefax: 07 11 / 78 19 08 - 55
E-Mail: pr-de@iss.net
Fink & Fuchs Public Relations AG
Kathrin Dyckerhoff
Fürstenrieder Str. 62
D-80686 München
Telefon: 0 89 / 58 97 87 - 0
Telefax: 0 89 / 58 97 87 - 50
E-Mail: kathrin.dyckerhoff@ffpr.de
STUTTGART 03. Dezember 2002. Internet Security Systems (ISS) hat seine Richtlinien für den Bekanntgabe-Prozess von Schwachstellen veröffentlicht. Binnen 24 Stunden nach der Entdeckung eines Lecks informiert der Anbieter von Sicherheits-Management-Lösungen den Hersteller betroffener Soft- oder Hardware. Bis zur Benachrichtigung der Öffentlichkeit hat dieser dann 30 Tage Zeit, geeignete Gegenmaßnahmen zu entwickeln. Kunden, die den ISS X-Force Threat Analysis Service (XFTAS) abonniert haben, wird die Existenz des Sicherheitslochs bereits nach einem Tag mitgeteilt. Nach Ansicht der Security-Experten ist damit ein fairer Ausgleich hergestellt zwischen den Interessen der Hersteller und der Sorgfaltspflicht, die ISS seinen Kunden gegenüber hat.
Enge Abstimmung mit der Organization for Internet Safety (OIS)
Während der 30-tägigen Frist beschäftigen sich die ISS-Spezialisten der X-Force weiterhin mit dem Sicherheitsleck. Abhängig vom Problem und den Erkenntnissen der Experten, unterstützen sie den Hersteller zum Beispiel mit Informationen über Exploits. Patches, die der Hersteller entwickelt, können von der X-Force auf ihre Funktionsfähigkeit getestet werden. Bevor ISS schließlich die Öffentlichkeit informiert, wird die schriftliche Mitteilung, das "Security Advisory", mit dem Hersteller abgestimmt. Diese Richtlinien gelten gleichermaßen für alle Anbieter kommerzieller Security-Produkte sowie für sämtliche Open-Source-Projekte.
Unter bestimmten Voraussetzungen behält sich ISS die Möglichkeit vor, von der 30-Tages-Frist abzusehen. Etwa wenn der Hersteller vorzeitig einen Patch zur Verfügung stellt oder selbst mit der Nachricht an die Öffentlichkeit geht. Das gleiche gilt für den Fall, dass ISS die aktive Ausnutzung der Schwachstelle im Internet beobachtet oder von der freien Verfügbarkeit eines Exploits erfährt.
Die jetzt veröffentlichten Richtlinien hat ISS in enger Abstimmung mit der Organization for Internet Safety (OIS) entwickelt. Der im Frühjahr 2002 gegründete Verbund will Konsens zwischen Security-Anbietern und Software-Herstellern über die Bekanntgabe-Praxis von Sicherheitslücken herstellen. Neben dem Mitbegründer ISS sind weitere zehn Unternehmen in der OIS versammelt, darunter Microsoft, Oracle und Network Associates.
Nachzulesen sind die Richtlinien auf der Webseite von ISS unter http://documents.iss.net/....
Weitere Informationen:
Internet Security Systems
Constanze Liebenau
Schockenriedstrasse 4A
D-70565 Stuttgart
Telefon: 07 11 / 78 19 08 - 0
Telefax: 07 11 / 78 19 08 - 55
E-Mail: pr-de@iss.net
Fink & Fuchs Public Relations AG
Kathrin Dyckerhoff
Fürstenrieder Str. 62
D-80686 München
Telefon: 0 89 / 58 97 87 - 0
Telefax: 0 89 / 58 97 87 - 50
E-Mail: kathrin.dyckerhoff@ffpr.de
