Microsoft ignoriert deutsche Sicherheitsstelle (ist: Windows 7, (vermutlich) kaputt in der Packung und Keinen interessierts?)

Bernhard Reiter reiter at fsfeurope.org
Fr Okt 23 10:58:28 UTC 2009


Am Freitag, 23. Oktober 2009 12:20:49 schrieb Volker Grabsch:
> Bernhard Reiter <reiter at fsfeurope.org> schrieb:
> > Da das BSI wohl eine "responsible disclosure" betreibt fehlen uns weitere
> > Details, um die Höhe des Risikos selbst bewerten zu können. Deshalb hat
> > die FSFE ja auch das BSI Aufgerufen, in diesem Falle mal davon
> > abzuweichen.
>
> Man müsste mal schauen, wie die Fristen beim BSI für "responsible
> disclosure" aussehen. Wieviel Zeit geben sie dem Hersteller, um
> die Lücke zu schließen, bevor sie im Interesse der Allgemeinheit
> die Details veröffentlichen?

Keine Ahnung, ich erwarte auch nicht umbedingt, dass es da Fristen gibt.

> Sollte sich herausstellen, dass sie sich mit Microsoft besonders
> viel Zeit lassen, dann muss das natürlich angeprangert werden.
> Sonst IMHO nicht.

An den Pranger wollte ich das nicht stellen, ich denke die sitzen ein wenig in 
der Klemme:
Machen sie nichts, dann geht eine bekannte Gefahr für Ihre Nutzer aus.
Veröffentlichen sie alles sofort, dann wird die Gefahr u.U. größer.

> > Sprich: Wir können es nicht abschliessend bewerten, sondern uns nur auf
> > das BSI verlassen. Aber das Microsoft mehr als 2 Wochen zu einer seriösen
> > Sicherheitsmeldung einer offiziellen deutschen Stelle schweigt, gerade
> > vor dem Produktstart, finde ich schon bemerkenswert.
>
> 2 Wochen im Vergleich wozu? Wie viel Zeit lässt das BSI den
> Herstellern normalerweise?

2 Wochen im Vergleich zu dem, was es brauchen würde, den Bericht 
nachzuvollziehen und eine Antwort ans BSI zu formulieren oder eine Warnung.
Das sollte innerhalb weniger Tage gehen, vielleicht sogar innerhalb eines 
Tages.  Sollte die Prüfung von ernsthaften Bedenken länger dauern, dann 
könnte ich auch den Verkauf des Produktes etwas verschieben.

Gruß,
Bernhard
-- 
FSFE -- Stellv. Deutschlandkoordinator           (fsfe.org)
Ihre Spende ermöglicht unsere Arbeit:  www.fsfe.org/help/donate.de.html
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 198 bytes
Beschreibung: This is a digitally signed message part.
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20091023/6ca95542/attachment.sig>


Mehr Informationen über die Mailingliste FSFE-de