Responsible Disclosure

Übersetzt bedeutet Responsible Disclosure “verantwortungsvolle Bekanntmachung“. Dabei geht es um die Bekanntmachung neu entdeckter Sicherheitslücken. Sie soll verantwortungsvoll erfolgen. Das heißt so, dass Cyberkriminelle die entdeckten Sicherheitslücken möglichst wenig ausnutzen können.

Was bedeutet Responsible Disclosure im Detail?

Es gibt unabhängige ethische Hacker die Websites, Programme, Apps und Co. auf Sicherheitslücken überprüfen. Nicht, um sie kriminell auszunutzen. Sondern um dazu beizutragen, dass diese Lücken geschlossen werden.
Üblicherweise melden die ethischen Hacker die Sicherheitslücke dem Unternehmen, dessen Programm, Website oder App betroffen ist. Sie räumen ihm eine angemessene Zeit ein, um die Lücke zu schließen. Erst dann informieren sie die Öffentlichkeit darüber. Ziel dieses Vorgehens ist, zu verhindern, dass Cyberkriminelle die Sicherheitslücken ausnutzen können.
Verzögert oder verweigert ein Unternehmen das Schließen der Sicherheitslücke, kann dies für ethische Hacker ein Dilemma bedeuten. Denn Cyberkriminelle suchen gezielt nach Sicherheitslücken, um sie für ihre Zwecke auszunutzen. Daher ist wahrscheinlich, dass eine von ethischen Hackern entdeckte Sicherheitslücke zumindest einigen Cyberkriminellen bereits bekannt ist.
Vor diesem Hintergrund können ethische Hacker sich entscheiden, die Sicherheitslücke öffentlich zu machen, obwohl sie noch nicht geschlossen wurde. Denn üblicherweise erzeugt dies einen starken Druck auf das Unternehmen, sie nun rasch zu schließen.

Wo begegnet mir Responsible Disclosure im Alltag?

Responsible Disclosure betrifft vorwiegend Unternehmen. Entdecken ethische Hacker z. B. in Ihrer Webpräsenz eine Sicherheitslücke, versuchen Sie, die geeignete Person oder Abteilung Ihres Unternehmens darauf aufmerksam zu machen.

Was kann ich tun, um meine Sicherheit zu verbessern?

Sicherheitslücken können Ihrem Unternehmen empfindliche Schäden verursachen. Erleichtern Sie daher ethischen Hackern eine Meldung nach dem Prinzip einer Responsible Disclosure. Viele Unternehmen richten hierfür eine Unterseite auf ihrer Website ein, oft unter dem Stichwort „Responsible Disclosure“.

Überlegen Sie mit den entsprechenden Fachkräften bzw. Abteilungen, wie Sie die Meldung von Sicherheitslücken handhaben möchten – und können.
Richten Sie eine spezielle E-Mail-Adresse für Responsible Disclosure Hinweise ein, zum Beispiel security@beispiel.de
Noch besser als eine E-Mail-Adresse: Setzen Sie ein Meldeformular auf, mit dem Sie detaillierte Informationen ermöglichen.
Stellen Sie die Kontaktmöglichkeiten und ggf. weitere Informationen auf Ihrer Website zur Verfügung
Kommunizieren Sie dort u. a. die erwartbaren Zeitrahmen für Antworten auf Meldungen und für das Schließen gemeldeter Sicherheitslücken.
Wenn Ihre Vorbereitungen durch eine Meldung honoriert werden, reagieren Sie professionell, transparent und wertschätzend.

Weitere Informationen finden Sie im BSI-Dokument „Handhabung von Schwachstellen Empfehlungen für Hersteller“.

Responsible disclosure refers to the disclosure of newly discovered security vulnerabilities. This should be done responsibly, meaning that cybercriminals should be able to exploit the discovered security vulnerabilities as little as possible.

What does responsible disclosure mean in detail?

There are independent ethical hackers who check websites, programmes, apps and the like for security vulnerabilities. Not to exploit them criminally, but to help ensure that these vulnerabilities are closed.

Ethical hackers usually report the security vulnerability to the company whose programme, website or app is affected. They give the company a reasonable amount of time to close the vulnerability. Only then do they inform the public. The aim of this approach is to prevent cybercriminals from exploiting the security vulnerabilities.

If a company delays or refuses to close the security vulnerability, this can pose a dilemma for ethical hackers. This is because cybercriminals specifically search for security vulnerabilities in order to exploit them for their own purposes. It is therefore likely that a security vulnerability discovered by ethical hackers is already known to at least some cybercriminals.

Against this background, ethical hackers may decide to disclose the security vulnerability even though it has not yet been closed. This usually puts strong pressure on the company to close it quickly.

Where do I encounter responsible disclosure in everyday life?

Responsible disclosure mainly affects companies. If ethical hackers discover a security vulnerability on your website, for example, try to bring it to the attention of the appropriate person or department in your company.

What can I do to improve my security?

Security vulnerabilities can cause serious damage to your company. Therefore, make it easy for ethical hackers to report them in accordance with the principle of responsible disclosure.

Many companies set up a subpage on their website for this purpose, often under the heading ‘Responsible Disclosure’.

Discuss with the relevant specialists or departments how you want to – and can – handle the reporting of security vulnerabilities.
Set up a special email address for responsible disclosure reports, for example security@beispiel.de
Even better than an email address: set up a reporting form that allows you to provide detailed information.
Provide contact details and any further information on your website.
Use this to communicate, among other things, the expected time frame for responding to reports and for closing reported security vulnerabilities.
If your preparations are rewarded by a report, respond professionally, transparently and appreciatively.

Further information can be found in the BSI document ‘Handling vulnerabilities – Recommendations for manufacturers’.