MÜNCHEN (CW) - Verschiedene Softwareentwickler und Anbieter von Sicherheitslösungen haben sich zu der Organization for Internet Safety (OIS) zusammengefunden. Sie wollen unter anderem Regeln für den Umgang mit fehlerhafter Internet-Software entwerfen.

Das zunächst wichtigste Anliegen der OIS-Gruppe ist es, eine Sperrfrist zwischen der Veröffentlichung von Patch-Releases und der genauen Beschreibung der zu behebenden Fehler durchzusetzen. Damit will man den Nutzern und Anbietern Zeit einräumen, die Softwarefehler zu beheben, die Verbesserungen einzuspielen und somit die Sicherheitslöcher zu stopfen, bevor sie bekannt werden. Bislang werden häufig zunächst die Fehler und Schlupflöcher publiziert. Erst dann beginnt der Anbieter damit, die entsprechende Softwarelösung zu entwickeln und den Anwendern zur Verfügung zu stellen. In der Zwischenzeit sind die entsprechenden IT-Systeme unzureichend gesichert.

Initiatoren des Vorhabens sind Steve Christey von Mitre und Chris Wysopal von @stake. Zu den weiteren Gründungsmitgliedern zählen Vertreter der Unternehmen Oracle, Microsoft, Symantec, Network Associates (NAI), Internet Security Systems (ISS), Bindview und SCO. Die von ihnen zu entwerfenden Verhaltensregeln sollen dafür sorgen, dass entdeckte Sicherheitslöcher zunächst dem Softwareanbieter gemeldet werden. Ihm wird eine Frist von 30 Tagen gewährt, in der er Abwehrmaßnahmen zu erstellen hat. Erst dann darf das Sicherheitsloch veröffentlicht werden. (jha)