In der neugegründeten Organisation für Internet-Sicherheit ( http://www.oisafety.org ) versammeln sich Software-Anbieter, Sicherheitsexperten und Berater, die gemeinsam Verfahren entwickeln wollen, um Unzulänglichkeiten in der Sicherheit im Bereich der Informationstechnik entgegenzuwirken. Gründungsmitglieder der Organisation sind u.a. @stake ( http://www.atstake.com ), BindView ( http://www.bindview.com ), Caldera International ( http://www.caldera.com ), Foundstone ( http://www.foundstone.com ), Guardent ( http://www.guardent.com ), Internet Security Systems ( http://www.iss.net ), Microsoft, Network Associates ( http://www.networkassociates.com ), Oracle ( http://www.oracle.com ), SGI ( http://www.sgi.com ) und Symantec ( http://www.symantec.com ). Die OIS erwartet eine Veröffentlichung der Standards Anfang 2003. (AM) | | |
|
| PROJECT CONSULT Kommentar:
|
Die Sicherheit im Internet wird seit langem diskutiert. Während in der Vergangenheit hauptsächlich die "Top100" Unternehmen bedroht wurden, lässt sich heute feststellen, daß auch immer mehr unzureichend geschützte PC's von einfachen Anwendern im Internet Ziel von Würmern und Trojanern werden. Die Erhöhung der WAN-Geschwindigkeiten (DSL) und die hohe Onlinezeit bei Downloads vereinfachen Attacken. Die Sicherheitsrisiken auch in Bezug auf kriminelle Eingriffe in Unternehmen steigen massiv. Während in der Vergangenheit einfache Firewallstrukturen installiert wurden, reichen heute auch mehrstufige Firewalls in Verbindung mit Intrusion-Detection- Systemen fast nicht mehr aus. Die Aktualität der dort verwendeten Signaturen gewinnt eine hohe Bedeutung. Hauptgrund für die Gründung der Organisation for Internet Security ist aber das von Zeit zu Zeit immer wieder auftretende Problem, dass Sicherheitsfirmen mit entdeckten Software-Schwachstellen, die für Betereiber oft erhebliche Sicherheitsrisiken darstellen, direkt und ohne den Hersteller zu informieren an die Öffentlichkeit gehen, um nicht zuletzt Werbung in eigener Sache zu betreiben. Dadurch entstehen zwei Probleme: Einerseits gerät ein vielleicht trotz Schwachstelle gutes Produkt in die Negativschlagzeilen und erhält ein Image, welches es eigentlich nicht verdient, andererseits werden Hacker animiert, diese Schwachstelle auszunutzen bevor der Hersteller entsprechend nachbessern kann. Aus diesem Grund strebt das OIS-Konsortium offizielle Veröffentlichungsrichtlinien an. Nach den bisherigen Vorschlägen müssten Unternehmen innerhalb einer Woche nach Erhalt eines Hinweises auf eine potenzielle Schwachstelle in ihrer Software reagieren. Im Gegenzug dafür solle ihnen von Seiten der Security-Spezialisten vor der Veröffentlichung eine Schonfrist von mindestens 30 Tagen eingeräumt werden. (StM/RC)
Metadata
