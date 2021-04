Googles Project Zero versucht eine neues Verfahren, um Software-Anbieter zur schnelleren Behebung von Sicherheitslücken zu bewegen, gleichzeitig aber Endnutzern Zeit zur Installation der Updates zu geben. Der neue Ansatz wirkt auf den ersten Blick widersinnig: Die Öffentlichkeit soll später als bisher informiert werden. Doch Google hat sich etwas dabei gedacht.

Googles Team "Project Zero" spürt Schwachstellen und Fehler in Googles eigener Software sowie in von anderen Unternehmen entwickelter Software auf. Gefundene Sicherheitslücken gibt das Sicherheitsteam direkt an die Anbieter weiter. Im Anschluss haben die Software-Autoren 90 Tage Zeit, die Fehler zu beheben. Bisher hat Google die Öffentlichkeit nach 90 Tage informiert. Aktiv von Angreifern ausgenutzte Lücken veröffentlichte Google bisher bereits nach sieben Tagen.

Der neue Ansatz

Bei nicht aktiv ausgenutzten Schwachstellen gewährt Google den Autoren vorerst weiterhin 90 Tage Zeit. Stellen sie bis dahin keine Patches zur Verfügung, wird die Öffentlichkeit sofort informiert. Gibt es jedoch einen Patch, wartet Google 30 Tage ab Verfügbarkeit des Updates, bevor es die Sicherheitslücke öffentlich offenlegt. Es kann also bis zu 120 Tage dauern, bis die Öffentlichkeit Wind bekommt.

Software-Anbieter können bei Project Zero 14 zusätzliche Tage beantragen. Auch dann geht das Sicherheitsteam aber spätestens nach 120 Tagen an die Öffentlichkeit. Hintergrund ist die grundsätzliche Frage, wer von Veröffentlichungen mehr profitiert, Anwender oder Angreifer. Die Frage ist alt und nicht allgemeingültig zu beantworten.

Kürzere Fristen bei akuter Gefahr

Bei aktiv ausgenutzten Sicherheitslücken gewährt Google den Anbietern nur sieben Tage Zeit. Die Software-Autoren können drei Tage Verlängerung beantragen. Gibt es dann keinen Fix, geht Google sofort an die Öffentlichkeit.

Gibt es jedoch einen Fix binnen sieben Tagen, wartet Google danach weitere 30 Tage zu. Es kann also bis zu 37 Tage dauern, bis Google die Öffentlichkeit über aktiv ausgenutzte Sicherheitslücken informiert.

Im Laufe der Zeit möchte Project Zero die Fristen schrittweise reduzieren, um die Anbieter zu schnelleren Sicherheitsupdates anzuhalten. So könnten aus 90 + 30 Tagen beispielsweise 60 +30 Tage werden. Zunächst wird Project Zero aber die Auswirkungen des neuen Ansatzes evaluieren.

