Sicherheitslücken? Microsoft will Entdecker nicht finanziell belohnen

Jerry Bryant, Security-Mitarbeiter von Microsoft, erklärte vergangene Woche im Blog »Threatpost«, für entdeckte Bugs zahle man keine Belohnung wie dies Google und Mozilla tun. Spätestens 60 Tage nach ihrer Entdeckung will Google die entdeckten Lücken veröffentlichen, Mozilla macht keine Angaben dazu – aber sieht das »Kopfgeld« als Weg, schneller Patches liefern zu können. Microsoft aber lehnt ab, den Trüffeljägern unter den Sicherheitsexperten auch noch eine Belohnung zu bezahlen.

Derzeit veröffentliche man die Namen der Entdecker in den Sicherheitsmeldungen, und das funktioniere doch sehr gut. Mozilla dagegen hatte seine »Bug Bounties« noch erhöht und Google folgte kurz darauf dem Vorbild.

Google hält 60 Tage für eine Zurückhaltung der Veröffentlichung für ausreichend, um Patches zu programmieren, Microsoft dagegen will die Cyberkriminellen nicht mit der Nase auf den Fehler stoßen. In einem gemeinsamen Blog-Posting nahezu aller Google-Sicherheitsmitarbeiter erklären die Sicherheitsprofis, warum sie die 60 Tage für ausreichend halten. Sicherheitsexperte Bruce Schneier habe schon 2001 die Vor- und Nachteile beider Praktiken durchleuchtet und halte eher die Microsoft-Taktik für fasch, schrieben die Google-Mitarbeiter.

Noch am selben Tag reagierte MS mit einer »kleinen Änderung«: Man wolle nun  mit einer »Coordinated Vulnerability Disclosure Policy« beginnen. Natürlich sei eine Veröffentlichung wichtig, aber man wolle die Zeit bis zum Patch nicht begrenzen, um koordinierter auf die Lücken reagieren zu können. (Manfred Kohlen)