Das europäische Institut für Telekommunikationsnormen (ETSI) rät Unternehmen und anderen Institutionen zur Einrichtung eines Triage-Verfahrens für gemeldete IT-Sicherheitslücken und zur koordinierten Offenlegung von Schwachstellen. So soll vermieden werden, dass diese in Panik geraten, wenn bei ihnen eine Schwachstelle in der Software oder in Systemen entdeckt wurde. ETSI schlägt vor, die Finder lieber zum Beispiel mit Werbegeschenken zu belohnen, anstatt Anzeige gegen sie zu erstatten. Mit Hinweisen für die Etablierung eines „Coordinated Vulnerability Disclosure“-Prozesses (CVD) will ETSI Organisationen jeglicher Größe die Behebung von Sicherheitslücken ermöglichen, bevor sie öffentlich bekannt und so möglicherweise im großen Stil ausgenutzt werden. Derzeit verfügen nur etwa 20 Prozent der IT- und Kommunikationstechnologie-Unternehmen über eine öffentlich zugängliche Möglichkeit zur Information über ein potenziell schwerwiegendes Sicherheitsproblem bei Produkten oder Dienstleistungen und über ein entsprechendes CVD-Management.
Den vollständigen Artikel finden Sie hier: