Offenbar gibt es momentan ein Missverständnis hinsichtlich des Wegs, wie Sicherheitsforscher Informationen über in unseren Produkten gefundene Lücken an Microsoft melden können. Es ist in der Tat korrekt, dass es hier in Deutschland keinen dedizierten Ansprechpartner für diese Themen gibt. Auch die Kollegen vom Support oder der allgemeinen Telefonauskunft sind nicht die passenden Adressen.

Aufgrund der Wichtigkeit der Informationen kümmern sich die Kollegen in den USA um die Meldungen. Faktisch gibt es mit dem Microsoft Security Response Center (MSRC) ein ganzes Team, zu dessen Hauptaufgaben der Kontakt zur IT-Security-Gemeinde in der ganzen Welt gehört. Auf einer eigenen Webseite beschreiben die MSRC-Kollegen, wie eine Schwachstellenmeldung („Report a vulnerability“) abläuft. Dort gibt es auch den öffentlichen PGP-Key zum Download, um die per E-Mail an secure@microsoft.com versandten Informationen zu verschlüsseln.

Alle an das MSRC gemeldeten Hinweise werden umgehend überprüft, so dass die jeweiligen Sicherheitsforscher binnen 24 Stunden Rückmeldung bekommen. Bezieht sich der Hinweis auf eine tatsächliche Schwachstelle, wird sofort das zuständige Produktteam alarmiert, um das Problem schnellstmöglich zu beheben.

Obwohl die Schwachstelleninformationen bei den US-Kollegen in den besten Händen sind – das MSRC nimmt Meldungen rund um die Uhr und zentral für alle Microsoft-Produkte entgegen – sollte natürlich auf den deutschen Microsoft-Internetseiten ebenfalls ersichtlich sein, wie die Kontaktaufnahme von statten geht. Ich werde mich darum kümmern, dass eine entsprechende Seite ins Webangebot von microsoft.de aufgenommen wird.

[Update]

Microsoft hat seinen Prozess (Coordinated Vulnerability Disclosure, CVD) zur Zusammenarbeit mit privaten und professionellen Sicherheitsforschern überarbeitet. CVD ist Microsofts Definition dessen, was seit Jahre als „responsible disclosure“ bezeichnet wird. Alle Details zu CVD bietet diese Webseite der US-Kollegen. CVD wurde von führenden Sicherheitsexperten geprüft und für tauglich erachtet. Mehr hierzu im Blog von Katie Moussouris.

Das Gegenteil von Coordinated Vulnerability Disclosure ist Full Disclosure: Alle Details über die Schwachstelle werden im Web veröffentlicht, ohne dass der betroffene Hersteller zuvor vertraulich informiert wurde. Ein englischsprachiges Video erläutert, warum Full Disclosure Websurfer und Nutzer von betroffenen Anwendungen in Gefahr bringt.

Außerdem veröffentlicht Microsoft seit kurzem auch Sicherheitsmeldungen über Schwachstellen, die in Produkten von anderen IT-Unternehmen entdeckt wurden. Analog zu den über unsere eigenen Produkte veröffentlichten Bulletins beschreiben die Microsoft Vulnerability Research (MSVR) Advisories Schwachstellen in Microsoft-fremden Produkten. Die Advisories weden natürlich erst veröffentlicht, wenn der betroffene Hersteller die Lücke geschlossen hat.