Unter der Überschrift „Project Zero“ jagt Google Sicherheitslücken. Werden diese entdeckt, wird das entsprechende Unternehmen informiert. Nach einer Frist von 90 Tagen macht Google den Fehler dann automatisch öffentlich – und das auch unabhängig davon, ob für das Problem bereits eine Lösung gefunden wurde. Genau diese strikte Vorgehensweise hat Google besonders im letzten Monat viel Kritik eingebracht.
So kritisierte Microsoft den Konzern Anfang Januar für die Offenlegung einer kritischen Windows-8.1-Lücke, die nur zwei Tage nach Ablauf der „Project Zero“-Frist geschlossen werden konnte. Google hatte die Bitte abgelehnt, die Veröffentlichung des Fehlers bis zur endgültigen Verteilung des Patches aufzuschieben. Auch Apple musste sich vor wenigen Wochen darüber ärgern, dass Lücken in OS X vor der Beseitigung bekannt gemacht wurden.
Jetzt scheint der Suchmaschinen-Konzern einen Schritt auf die betroffenen Unternehmen zugehen zu wollen. Statt der starren 90-Tage-Frist, nach der automatisch eine Veröffentlichung der entdeckten Fehler erfolgt, will Google laut in Zukunft eine etwas flexiblere Richtlinie anwenden.
Demnach werden bis zu zwei Wochen Aufschub gewährt, wenn das betroffene Unternehmen Google vor Ablauf der 90-Tage-Frist darüber informiert, dass ein Patch noch innerhalb dieser letzten 14-tägigen Gnadenfrist erfolgen wird. Darüber hinaus will Google in Zukunft auch Rücksicht auf Wochenenden und US-Feiertage nehmen. Sollte eine Veröffentlichung an diesen Tagen angesetzt sein, wird sie in Zukunft automatisch auf den nächsten Werktag verschoben.
Kurz gesagt: Es ist durchaus sinnvoll, Unternehmen mit klaren Fristen zur Schließung von Sicherheitslücken zu bewegen. Google scheint seine „Project Zero“-Richtlinien jetzt aber nach dem Prinzip „Vernunft“ an den richtigen Stellen anzupassen.
