Am Freitag, 23. Oktober 2009 12:20:49 schrieb Volker Grabsch: > Bernhard Reiter <[email protected]> schrieb: > > Da das BSI wohl eine "responsible disclosure" betreibt fehlen uns weitere > > Details, um die Höhe des Risikos selbst bewerten zu können. Deshalb hat > > die FSFE ja auch das BSI Aufgerufen, in diesem Falle mal davon > > abzuweichen. > > Man müsste mal schauen, wie die Fristen beim BSI für "responsible > disclosure" aussehen. Wieviel Zeit geben sie dem Hersteller, um > die Lücke zu schließen, bevor sie im Interesse der Allgemeinheit > die Details veröffentlichen?
Keine Ahnung, ich erwarte auch nicht umbedingt, dass es da Fristen gibt. > Sollte sich herausstellen, dass sie sich mit Microsoft besonders > viel Zeit lassen, dann muss das natürlich angeprangert werden. > Sonst IMHO nicht. An den Pranger wollte ich das nicht stellen, ich denke die sitzen ein wenig in der Klemme: Machen sie nichts, dann geht eine bekannte Gefahr für Ihre Nutzer aus. Veröffentlichen sie alles sofort, dann wird die Gefahr u.U. größer. > > Sprich: Wir können es nicht abschliessend bewerten, sondern uns nur auf > > das BSI verlassen. Aber das Microsoft mehr als 2 Wochen zu einer seriösen > > Sicherheitsmeldung einer offiziellen deutschen Stelle schweigt, gerade > > vor dem Produktstart, finde ich schon bemerkenswert. > > 2 Wochen im Vergleich wozu? Wie viel Zeit lässt das BSI den > Herstellern normalerweise? 2 Wochen im Vergleich zu dem, was es brauchen würde, den Bericht nachzuvollziehen und eine Antwort ans BSI zu formulieren oder eine Warnung. Das sollte innerhalb weniger Tage gehen, vielleicht sogar innerhalb eines Tages. Sollte die Prüfung von ernsthaften Bedenken länger dauern, dann könnte ich auch den Verkauf des Produktes etwas verschieben. Gruß, Bernhard -- FSFE -- Stellv. Deutschlandkoordinator (fsfe.org) Ihre Spende ermöglicht unsere Arbeit: www.fsfe.org/help/donate.de.html
signature.asc
Description: This is a digitally signed message part.
_______________________________________________ fsfe-de mailing list [email protected] https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
