MÜNCHEN (COMPUTERWOCHE) - Elf Softwarehersteller und Sicherheitsfirmen haben sich zusammengetan, um gemeinsame Richtlinien für die Veröffentlichung von Softwarefehlern zu entwerfen. Den Mitgliedern der frischgebackenen Organization for Internet-Safety (OIS), dem ISS, @stake, BindView, Foundstone, Guardent, Internet Security Systems (ISS), NAI und Symantec sowie Microsoft, Caldera International, Orcale und SGI angehören, geht es darum, die diesbezügliche Kluft zwischen Sicherheitsfirmen beziehungsweise unabhängigen Beratern und Softwareunternehmen zu überbrücken. Den Security-Spezialisten wird unterstellt, mit der Herausgabe von Informationen über Sicherheitsinsuffizienzen bestimmter Applikationen in erster Linie die Aufmerksamkeit der Medien auf sich ziehen zu wollen und damit die Anbieter bloßzustellen, die ihre fehlerhafte Software in aller Stille und unter Ausschluss der Öffentlichkeit korrigieren

wollten. Der bislang fehlende Konsens darüber, wie und zu welchem Zeitpunkt über Security-Probleme berichtet werden soll, verkompliziere jedoch die Beseitigung von Fehlern und erhöhe somit letztendlich das Anwenderrisiko, heißt es auf der Web-Site des Konsortiums.

Das OIS-Konsortium strebt nach eigenen Aussagen offizielle Veröffentlichungsrichtlinien an. Einen ersten Entwurf hatte die Gruppe bereits vor einiger Zeit der Internet Engineering Task Force (IETF) vorgelegt, war dort jedoch abgewiesen worden. Dies falle nicht in den Zuständigkeitsbereich der IETF, hieß es. Nach den darin enthaltenen Vorschlägen müssten Unternehmen binnen einer Woche nach Erhalt eines Hinweises auf eine potenzielle Schwachstelle in ihrer Applikation reagieren. Im Gegenzug dafür solle ihnen von Seiten der Security-Spezialisten vor der Veröffentlichung eine Schonfrist von mindestens 30 Tagen eingeräumt werden. (kf)