Bisher gibt Google Software-Entwicklern 60 Tage, um Sicherheitslücken zu schließen, bis es diese bekannt macht. Nun soll die Schonfrist radikal auf eine Woche verkürzt werden. Das hätte offensichtliche Vorteile - aber auch eine Schattenseite.
Wir haben ein Recht darauf, zu erfahren, ob die Software, die wir nutzen, sicher ist oder nicht. Jedoch ergibt sich hier ein Dilemma: Macht man Sicherheitslücken publik, öffnet das Kriminellen Tür und Tor. Tut man es nicht, verwehrt man Nutzern die Möglichkeit, selber Schutzmaßnahmen zu ergreifen, wahrt allerdings wiederum Image-Interessen der Software-Anbieter, denn die haben so Zeit, die Mängel zu beheben, ohne dass der Verbraucher von ihnen erfährt.
Google hat sich jetzt entschieden, zugunsten des Nutzers seine Politik zu verändern und damit den Druck auf Entwickler zu erhöhen. Schon nach sieben Tagen sollen Sicherheitslücken öffentlich werden. Das heißt, den Entwicklern bleibt deutlich weniger Zeit, Gegenmaßnahmen zu ergreifen. Im Idealfall führt das dazu, dass Lücken schneller geschlossen werden, denn kein Software-Hersteller sehnt sich schlechter Presse und dem Unmut seiner Kunden.
Was aber, wenn eine Sicherheitslücke innerhalb von einer Woche einfach nicht zu schließen ist? Dann werden Kriminelle praktisch eingeladen. Wie auf dem Google Online Security Blog dargestellt, ist Google das Risiko, dass Sicherheitslücken bereits aktiv ausgenutzt werden, diese aber nicht bekannt sind, einfach zu groß, denn in diesen Fällen können sich Betroffene nicht eigenständig schützen. In anderen Teilen der Welt kann dieses Wissen den Unterschied zwischen Leben und Tod bedeuten, zum Beispiel im Fall politischer Aktivisten.
Sollte die Frist von einer Woche nicht einzuhalten sein, so will Google die Entwickler aktiv dabei unterstützen, Betroffenen Hilfestellungen dabei zu geben, Schutzmaßnahmen zu ergreifen. Idealerweise sollten diese Fälle jedoch gar nicht eintreten.
via androidpit.de
Keine Kommentare:
Kommentar veröffentlichen