Web

Sicherheitsunternehmen kündigt CERT-Kooperation auf

31.01.2003

MÜNCHEN (COMPUTERWOCHE) - NGSS (Next Generation Security Software), Spezialist für das Aufspüren von Security-Lecks in IT-Produkten, will dem CERT (Computer Emergency Response Team) seine Ermittlungsergenisse nicht mehr melden. Der Streit schwelt bereits seit einiger Zeit, nun beschuldigt NGSS die von der US-Regierung finanzierte Organisation, Informationen vor der vereinbarten Frist an Dritte weitergegeben zu haben. Nach einem Abkommen zwischen Sicherheitsanbietern und dem CERT sollen Informationen über Lecks erst dann veröffentlicht werden, nachdem entsprechende Patches verfügbar sind. Es hätten jedoch bereits mehrmals Vertreter von Behörden bei betroffenen Herstellern angerufen und sich nach Systemfehlern erkundigt, bevor diese offiziell publiziert wurden.

Dass das CERT so verfährt, geht aus der "Vulnerability Disclosure Policy" hervor, die die Organisation auf ihrer Website veröffentlicht hat. NGSS-Mitbegründer Mark Litchfield räumte nun ein, sich des Inhalts nicht bewusst gewesen zu sein: "Nicht jedermann liest jedes Wort auf einer Website". Er sei davon ausgegangen, das CERT nutze die Informationen als Grundlage eigener interner Untersuchungen.

NGSS hat seit der Gründung vor zwei Jahren einige wichtige Sicherheitslücken aufgedeckt, unter anderem die SQL-Server-Lücke, durch die sich am vergangenen Wochenende der Wurm "Slammer" ausbreiten konnte (Computerwoche online berichtete). Der Informationsverlust, der durch den Rückzug des Unternehmens entsteht, werde sich spürbar bemerkbar machen, prophezeien Analysten. Falls andere Sicherheitseinrichtungen dem Beispiel von NGSS folgen, könnte das CERT als zentrale Warninstanz bald unbedeutend werden, glaubt Chris Wysopal von @Stake. (lex)