Microsoft kritisiert Kopfgeld für Schwachstellen

EnterpriseSicherheit

Die von iDefense für eine kritische Windows-Schwachstelle ausgelobten 10.000 Dollar stoßen in Redmond nicht wirklich auf Gegenliebe.

Die von iDefense für eine kritische Windows-Schwachstelle ausgelobten 10.000 Dollar stoßen in Redmond nicht wirklich auf Gegenliebe. Diese Summe bietet der Hersteller von IT-Sicherheitslösungen im Rahmen der ‘Quarterly Hacking Challenge’ jedem Hacker, der eine Schwachstelle aufspürt und die Microsoft zur Veröffentlichung eines kritischen Sicherheitsbulletins veranlasst.

“Wir glauben nicht, dass dies der beste Weg ist, den Kunden zu schützen, eine Vergütung für Informationen über Verwundbarkeiten anzubieten”, erklärte ein Microsoft-Sprecher gegenüber US-Medien. “Microsoft hält dann eine Veröffentlichung für verantwortungsvoll, wenn sichergestellt ist, dass vom Hersteller ein entsprechendes Update vorliegt und die Verwundbarkeit allgemein bekannt ist”, so der Sprecher weiter. Dies sei die beste Art, den Nutzer vor Sicherheitslecks zu schützen.

Die Voraussetzung für das Preisgeld, das iDefense im Rahmen des Vulnerability Contributor Program anbietet, ist dass das Unternehmen exklusiv über das Leck informiert wird. Michael Sutton, Director der iDefense Labs, verteidigte die Idee des ‘Kopfgeldes’ für Microsoft-Lecks. Damit wolle man bösartigen Hackern die Informationen entziehen, sagte er in einem Interview.

Zudem findet Sutton es seltsam, dass ein Unternehmen, das 250.000 Dollar für die Ergreifung eines Wurm-Autors aussetzt, eine Maßnahme kritisiert, die die Verbreitung von Schad-Code eindämmen soll. Es sei nur gerecht, den Hacker, der sich mit dem Code beschäftig, für seine Arbeit auch angemessen zu entlohnen, schließlich profitiere ja der Hersteller von diesen Bemühungen.