Responsible Disclosure

Übersetzt bedeutet Responsible Disclosure “verantwortungsvolle Bekanntmachung“. Dabei geht es um die Bekanntmachung neu entdeckter Sicherheitslücken. Sie soll verantwortungsvoll erfolgen. Das heißt so, dass Cyberkriminelle die entdeckten Sicherheitslücken möglichst wenig ausnutzen können.

Was bedeutet Responsible Disclosure im Detail?

Es gibt unabhängige ethische Hacker die Websites, Programme, Apps und Co. auf Sicherheitslücken überprüfen. Nicht, um sie kriminell auszunutzen. Sondern um dazu beizutragen, dass diese Lücken geschlossen werden.
Üblicherweise melden die ethischen Hacker die Sicherheitslücke dem Unternehmen, dessen Programm, Website oder App betroffen ist. Sie räumen ihm eine angemessene Zeit ein, um die Lücke zu schließen. Erst dann informieren sie die Öffentlichkeit darüber. Ziel dieses Vorgehens ist, zu verhindern, dass Cyberkriminelle die Sicherheitslücken ausnutzen können.
Verzögert oder verweigert ein Unternehmen das Schließen der Sicherheitslücke, kann dies für ethische Hacker ein Dilemma bedeuten. Denn Cyberkriminelle suchen gezielt nach Sicherheitslücken, um sie für ihre Zwecke auszunutzen. Daher ist wahrscheinlich, dass eine von ethischen Hackern entdeckte  Sicherheitslücke zumindest einigen Cyberkriminellen bereits bekannt ist.
Vor diesem Hintergrund können ethische Hacker sich entscheiden, die Sicherheitslücke öffentlich zu machen, obwohl sie noch nicht geschlossen wurde. Denn üblicherweise erzeugt dies einen starken Druck auf das Unternehmen, sie nun rasch zu schließen.

Wo begegnet mir Responsible Disclosure im Alltag?

Responsible Disclosure betrifft vorwiegend Unternehmen. Entdecken ethische Hacker z. B. in Ihrer Webpräsenz eine Sicherheitslücke, versuchen Sie, die geeignete Person oder Abteilung Ihres Unternehmens darauf aufmerksam zu machen.

Was kann ich tun, um meine Sicherheit zu verbessern?

Sicherheitslücken können Ihrem Unternehmen empfindliche Schäden verursachen. Erleichtern Sie daher ethischen Hackern eine Meldung nach dem Prinzip einer Responsible Disclosure. Viele Unternehmen richten hierfür eine Unterseite auf ihrer Website ein, oft unter dem Stichwort „Responsible Disclosure“.

• Überlegen Sie mit den entsprechenden Fachkräften bzw. Abteilungen, wie Sie die Meldung von Sicherheitslücken handhaben möchten – und können.
• Richten Sie eine spezielle E-Mail-Adresse für Responsible Disclosure Hinweise ein, zum Beispiel security@beispiel.de
• Noch besser als eine E-Mail-Adresse: Setzen Sie ein Meldeformular auf, mit dem Sie detaillierte Informationen ermöglichen.
• Stellen Sie die Kontaktmöglichkeiten und ggf. weitere Informationen auf Ihrer Website zur Verfügung
• Kommunizieren Sie dort u. a. die erwartbaren Zeitrahmen für Antworten auf Meldungen und für das Schließen gemeldeter Sicherheitslücken.
• Wenn Ihre Vorbereitungen durch eine Meldung honoriert werden, reagieren Sie professionell, transparent und wertschätzend.

Weitere Informationen finden Sie im BSI-Dokument „Handhabung von Schwachstellen Empfehlungen für Hersteller“.