Secunia lockt mit T-Shirts für Sicherheitslücken
Während die Konkurrenz tausende Euro zahlt, verspricht Secunia für Informationen zu neuen Sicherheitslücken "Merchandise-Artikel" und kostenlose Hotelübernachtungen.
Mit einem neuen Prämienkonzept will die skandinavische Firma Secunia Sicherheitsforscher motivieren, die gefundenen Sicherheitslücken bei ihr zu melden. Doch während etwa Tipping Points Zero Day Initiative (ZDI) und Verisigns iDefense tief in den Geldbeutel greifen und teilweise fünfstellige Beträge zahlen, verspricht das Secunia Vulnerability Coordination Reward Programme "Merchandise-Artikel der Oberklasse" und kostenlosen Eintritt und Hotelunterkunft für eine Sicherheitskonferenz.
Allerdings sieht sich Secunia nicht in Konkurrenz zu ZDI & Co sondern eher als Ergänzung. So soll das Secunia-Angebot auch dann gelten, wenn die anderen Firmen kein Interesse zeigen; selbst eine parallele Belohnung durch mehrere Prämien-Programme halten die Skandinavier für möglich. Anders als Tipping Point und Verisign, die die Prämienprogramme nutzen, um ihren Kunden einen Vorsprung zu verschaffen – und sei es nur durch frühzeitige Signaturen für deren Netzwerk-Alarmanlagen – erklärt Secunia, dass man die Informationen nicht vorab an Kunden herausgeben wolle.
Secunia verspricht, die übermittelten Erkenntnisse als "unabhängige dritte Partei" zu überprüfen und dann die Kommunikation mit dem Hersteller bis zum Erscheinen eines Patches zu koordinieren. Die Firma betreibt bereits jetzt eine große Datenbank mit bekannten Sicherheitslücken, die die Basis ihrer Produkte bildet. Corporate respektive Personal Software Inspector kontrollieren und überwachen alle installierten Programme auf bekannte Sicherheitslücken. Auch der Update-Check von heise Security beruht auf Secunias Software Inspector. Hinter dem neuen Prämienkonzept dürfte die Hoffnung stehen, das Einsammeln der dafür notwendigen Informationen zu vereinfachen. (ju)
