Responsible Disclosure

Glossar

Übersetzt bedeutet Responsible Disclosure “verantwortungsvolle Bekanntmachung“. Dabei geht es um die Bekanntmachung neu entdeckter Sicherheitslücken. Sie soll verantwortungsvoll erfolgen. Das heißt so, dass Cyberkriminelle die entdeckten Sicherheitslücken möglichst wenig ausnutzen können.

 

Was bedeutet Responsible Disclosure im Detail?

Es gibt unabhängige ethische Hacker die Websites, Programme, Apps und Co. auf Sicherheitslücken überprüfen. Nicht, um sie kriminell auszunutzen. Sondern um dazu beizutragen, dass diese Lücken geschlossen werden.
Üblicherweise melden die ethischen Hacker die Sicherheitslücke dem Unternehmen, dessen Programm, Website oder App betroffen ist. Sie räumen ihm eine angemessene Zeit ein, um die Lücke zu schließen. Erst dann informieren sie die Öffentlichkeit darüber. Ziel dieses Vorgehens ist, zu verhindern, dass Cyberkriminelle die Sicherheitslücken ausnutzen können.
Verzögert oder verweigert ein Unternehmen das Schließen der Sicherheitslücke, kann dies für ethische Hacker ein Dilemma bedeuten. Denn Cyberkriminelle suchen gezielt nach Sicherheitslücken, um sie für ihre Zwecke auszunutzen. Daher ist wahrscheinlich, dass eine von ethischen Hackern entdeckte  Sicherheitslücke zumindest einigen Cyberkriminellen bereits bekannt ist.
Vor diesem Hintergrund können ethische Hacker sich entscheiden, die Sicherheitslücke öffentlich zu machen, obwohl sie noch nicht geschlossen wurde. Denn üblicherweise erzeugt dies einen starken Druck auf das Unternehmen, sie nun rasch zu schließen.

 

Wo begegnet mir Responsible Disclosure im Alltag?

Responsible Disclosure betrifft vorwiegend Unternehmen. Entdecken ethische Hacker z. B. in Ihrer Webpräsenz eine Sicherheitslücke, versuchen Sie, die geeignete Person oder Abteilung Ihres Unternehmens darauf aufmerksam zu machen.

 

Was kann ich tun, um meine Sicherheit zu verbessern?

Sicherheitslücken können Ihrem Unternehmen empfindliche Schäden verursachen. Erleichtern Sie daher ethischen Hackern eine Meldung nach dem Prinzip einer Responsible Disclosure. Viele Unternehmen richten hierfür eine Unterseite auf ihrer Website ein, oft unter dem Stichwort „Responsible Disclosure“.

  • Überlegen Sie mit den entsprechenden Fachkräften bzw. Abteilungen, wie Sie die Meldung von Sicherheitslücken handhaben möchten – und können.
  • Richten Sie eine spezielle E-Mail-Adresse für Responsible Disclosure Hinweise ein, zum Beispiel security@beispiel.de
  • Noch besser als eine E-Mail-Adresse: Setzen Sie ein Meldeformular auf, mit dem Sie detaillierte Informationen ermöglichen.
  • Stellen Sie die Kontaktmöglichkeiten und ggf. weitere Informationen auf Ihrer Website zur Verfügung
  • Kommunizieren Sie dort u. a. die erwartbaren Zeitrahmen für Antworten auf Meldungen und für das Schließen gemeldeter Sicherheitslücken.
  • Wenn Ihre Vorbereitungen durch eine Meldung honoriert werden, reagieren Sie professionell, transparent und wertschätzend.

Weitere Informationen finden Sie im BSI-Dokument „Handhabung von Schwachstellen Empfehlungen für Hersteller“.

Verwandte Beiträge

  • Darknet

    Dieser anonyme Bereich im Internet ist nicht offen sichtbar und nicht durch eine Suchmaschine zu erreichen. Er ist nur mithilfe eines speziellen Netzwerkes erreichbar, dem sogenannten Tor-Netzwerk.

    mehr lesen

Weitere Beiträge

  • Gefahrenwarnung: Cybersicherheitsvorfall bei T-Mobile US betrifft Millionen Kunden

    Gefahrenwarnung

    Bei einem Angriff auf T-Mobile US wurden Daten von mindestens 40 Millionen Kunden gestohlen. Wir bringen auf den Punkt, was genau passiert ist und was Sie selbst tun können.

    mehr lesen

Sie sind neugierig geworden?

Fragen Sie noch heute eine unverbindliche Produkt-Demo von Perseus an.

Wir befähigen Ihre Mitarbeitenden, aktiv zur Cybersicherheit Ihres Unternehmens beizutragen.

Überzeugen Sie sich selbst, wie einfach und schnell sich Perseus in Ihre Unternehmensstruktur integrieren lässt.

Live Demo

Sie haben Fragen zu unseren Leistungen?

Zögern Sie nicht anzurufen: + 49 30 95 999 8080

  • Plug & Play-Lösung, die einfach und schnell integriert ist
  • Kurze, spannende Online-Trainings für Cybersicherheit und Datenschutz
  • Trainings unterstützen bei der Erfüllung einzelner Compliance-Anforderungen (z. B. zu ISO 27001)
  • Simulierte Phishing-E-Mails testen das Erlernte der Mitarbeitenden in der Praxis
  • Zertifikate dokumentieren Lernerfolge und dienen als Nachweis für Versicherungen oder Behörden
  • Das Cybernotfall-Management ist jederzeit zur Stelle, falls es doch einmal zum Cybervorfall kommt