Die schleichende Unsicherheit
Es gibt viele Gründe, wieso unsere IT-Systeme sicherer geworden sind. Vieles hängt an der unermüdlichen Arbeit vieler, die Sicherheitslücken suchen und finden, um durch die Veröffentlichung selbiger den Druck zum Handeln auf die Hersteller zu erhöhen. Das Ergebnis sind dann die im monatlichen Turnus erscheinenden (kritischen) Updates. Dabei ist kein Betriebssystem ausgeschlossen – egal ob Linux, Windows, OS-X…
Nun aber gibt es ein Ereignis, dass dieses Treiben beendet. John Cartwright betreibt seit 12 Jahren eine Instanz auf diesem Gebiet – die Mailingliste Full Disclosure. Auf dieser konnten alle Arten von Sicherheitslücken und Exploits veröffentlicht werden, was immer wieder zu Veröffentlichung von Zeroday-Lücken geführt hat. Nun ist die in Sicherheits-Kreisen hoch geschätzte Mailingliste geschlossen.
John Cartwright, als Betreiber und Mitbegründer der Mailingliste, wurde zu dem Schritt gezwungen. Zu aufwändig wurden die rechtlichen Beschwerden:
Ich bin nicht bereit, diesen Kampf weiter zu führen. Es wird immer schwerer, im heutigen rechtlichen Klima eine offenes Forum dieser Art zu betreiben.
Damit verliert die Sicherheits-Szene eine wichtige Plattform zur Zusammenarbeit und des Austauschs. Ich bin mir nicht sicher, ob ein anderer sich so schnell der Mühe und Gefahr aussetzt.
Wer profitiert von der Full Disclosure Abschaltung? Auf die Schnelle fallen mir nur zwei ein. Zum einen die kriminellen Bereiche unserer Gesellschaft, die durch ihre Aktionen das Geld anderer „einsammeln“ und die Geheimdienste – was auch immer sie mit den Informationen irgendwann anfangen.
Wir wissen nichts.
Das ist in allen Kulturen der Weisheit letzter Schluß:
Wir können nur handeln, nicht erkennen.
(Oswald Spengler)
Und warum machen die Teilnehmer der Liste nicht einfach eine neue auf?
Damit wäre die rechtliche Unsicherheit leider nicht beseitigt. Es stellt sich somit die Frage, ob ein anderer unter den Bedingungen bereit ist, dieses (rechtliche) Risiko einzugehen.