Alltägliche Hinweise | Cybersicherheit | Datenschutz
Responsible Disclosure – diesem Prinzip folgen ethische Hacker, wenn Sie eine Sicherheitslücke bei einem Unternehmen entdecken. Was Responsible Disclosure ist, erläutern wir in diesem Blogbeitrag. Außerdem erklären wir, weshalb Unternehmen diese Hinweise gezielt sammeln und nutzen sollten – und geben erste Tipps, wie.
Übersetzt bedeutet Responsible Disclosure “verantwortungsvolle Bekanntmachung“. Dabei geht es um die Bekanntmachung neu entdeckter Sicherheitslücken. Denn zum Glück gibt es unabhängige ethische Hacker, die Websites, Programme, Apps und Co. auf Sicherheitslücken überprüfen. Nicht, um sie kriminell auszunutzen. Sondern um dazu beizutragen, dass diese Lücken geschlossen werden.
Üblicherweise melden die ethischen Hacker die Sicherheitslücke dem Unternehmen, dessen Programm, Website oder App betroffen ist. Sie räumen dem Unternehmen eine angemessene Zeit ein, um die Lücke zu schließen. Erst dann informieren sie die Öffentlichkeit darüber. Ziel dieses Vorgehens ist, zu verhindern, dass Cyberkriminelle die Sicherheitslücken ausnutzen können.
Gut zu wissen: Alternativ wird Responsible Disclosure auch als Coordinated Disclosure bezeichnet – weil die Unternehmen und die ethischen Hacker ihr Vorgehen koordinieren.
Gleich vorweg: Ethische Hacker sind keine einheitliche Gruppe. Was sie aber gemeinsam haben: Sie besitzen enorme Computerexpertise und praktizieren eine gewisse Hackerethik. Vielleicht ihre ganz individuelle. Oder z. B. die Hackerethik des Chaos Computer Clubs. Einer ihrer Grundsätze lautet: „Öffentliche Daten nützen, private Daten schützen“. Viele Sicherheitslücken gefährden den Schutz privater Daten. Daher fühlen ethische Hacker sich oft verantwortlich, dafür zu sorgen, dass solche Sicherheitslücken geschlossen werden.
Allerdings gibt es auch Unternehmen, die dauerhaft untätig bleiben. In solchen Fällen können ethische Hacker sich für eine Full Disclosure entscheiden, das heißt für eine vollständige Bekanntmachung. Dann machen sie die Sicherheitslücke öffentlich – obwohl sie noch nicht geschlossen ist. Diese Entscheidung ist zweischneidig. Einerseits erfahren so auch Cyberkriminelle von der noch nicht geschlossene Sicherheitslücke. Andererseits bedeutet die Bekanntmachung üblicherweise massiven Druck auf das betreffende Unternehmen, diese Lücke nun schnellstmöglich zu schließen.
Wichtig zu wissen: Cyberkriminelle suchen gezielt nach Sicherheitslücken, um sie für ihre Zwecke auszunutzen. Daher müssen ethische Hacker oft auch die Wahrscheinlichkeit abwägen, dass eine von ihnen gefundene Sicherheitslücke zumindest einigen Cyberkriminellen bereits bekannt ist.
Mehr und mehr Unternehmen bemühen sich, ethischen Hackern eine Responsible Disclosure zu erleichtern. Zum Beispiel, indem sie eine spezielle E-Mail-Adresse für solche Hinweise einrichten oder ein Formular zur Verfügung stellen.
Zum Teil geben sie den ethischen Hackern auch Informationen, welche Arten von Sicherheitslücken für sie relevant sind und wie sie den Umgang mit der Meldung gestalten. Hintergrund dieser Bemühungen ist die Erkenntnis, dass die Unternehmen hier von der unbeauftragten Expertise der ethischen Hacker profitieren.
Beim Auffinden von Sicherheitslücken können ethische Hacker sich technisch gesehen strafbar machen. Zum Beispiel, wenn sie entdecken, dass aufgrund einer Sicherheitslücke personenbezogene Daten öffentlich einsehbar sind – und bei dieser Entdeckung zwangsläufig einige dieser Daten einsehen.
Üblicherweise zeigen Unternehmen die ethischen Hacker in solchen Fällen nicht an. Eine große deutsche Partei tat dies jedoch, nachdem ihr mehrere Sicherheitslücken in einer ihrer Apps gemeldet wurden. Daraufhin kündigte Europas größte Hackervereinigung – der Chaos Computer Club – an, dieser Partei künftig keine Sicherheitslücken mehr zu melden.
Sicherheitslücken können Ihrem Unternehmen empfindliche Schäden verursachen. Erleichtern Sie daher ethischen Hackern eine Meldung nach dem Prinzip einer Responsible Disclosure.
Wie ein verantwortungsvoller Umgang mit neu entdeckten Sicherheitslücken aussieht, ist nicht immer ganz eindeutig. Viele Unternehmen sind froh über die exakten Hinweise, die sie von ethischen Hackern erhalten und bemühen sich, die entdeckten Sicherheitslücken zu schließen.
Einige Beispiele, wie andere Organisationen mit Responsible Disclosure umgehen:
Weitere hilfreiche Informationen finden Sie im BSI-Dokument „Handhabung von Schwachstellen. Empfehlungen für Hersteller“.
Üblicherweise melden ethischen Hacker Sicherheitslücken, ohne dafür Geld zu verlangen. Umso wichtiger ist, sich über den Wert dieser Informationen im Klaren zu sein. Ethische Hacker für gezielte Sicherheitstests zu beauftragen ist nicht billig. Daher bieten viele große Firmen Belohnungen für gemeldete Sicherheitslücken.
Sollten Sie also auch einen Finderlohn für gemeldete Sicherheitslücken zahlen? Das entscheiden letztlich Sie. Das Finden und verantwortungsvolle, konstruktive Melden von Sicherheitslücken kann ethische Hacker viel Zeit und Aufwand kosten – und Ihnen viel Ärger ersparen. Wir empfehlen daher, Ihren Dank und Ihre Anerkennung je nach den Möglichkeiten Ihres Unternehmens auszudrücken. Vielleicht in Form einer Prämie oder durch besonders beliebte Give-aways oder Gratisprodukte. Am besten so, wie Sie eine entsprechende Leistung selbst gerne honoriert sehen würden.
Wenn Sie weitere Fragen zum Thema Responsible Disclosure haben oder sich Unterstützung bei der Ermöglichung oder Bearbeitung solcher Meldungen haben, wenden Sie sich einfach an uns.
Everyday tips | Cybersecurity | Data protection
Responsible disclosure – this is the principle that ethical hackers follow when they discover a security vulnerability in a company. In this blog post, we explain what responsible disclosure is. We also explain why companies should collect and use this information in a targeted manner – and provide some initial tips on how to do so.
Responsible disclosure refers to the disclosure of newly discovered security vulnerabilities. Fortunately, there are independent ethical hackers who check websites, programmes, apps and other software for security vulnerabilities. They do not do this to exploit them criminally, but to help ensure that these vulnerabilities are closed.
Ethical hackers usually report the security vulnerability to the company whose programme, website or app is affected. They give the company a reasonable amount of time to close the vulnerability. Only then do they inform the public. The aim of this approach is to prevent cybercriminals from exploiting the security vulnerabilities.
Good to know: Responsible disclosure is also known as coordinated disclosure because the companies and ethical hackers coordinate their actions.
First things first: ethical hackers are not a uniform group. What they do have in common, however, is that they possess enormous computer expertise and practise a certain hacker ethic. Perhaps their own individual ethic. Or, for example, the hacker ethics of the Chaos Computer Club. One of their principles is: ‘Use public data, protect private data.’ Many security vulnerabilities jeopardise the protection of private data. Ethical hackers therefore often feel responsible for ensuring that such security vulnerabilities are closed.
However, there are also companies that remain inactive in the long term. In such cases, ethical hackers may decide to go for full disclosure, i.e. complete disclosure. They then make the security vulnerability public – even though it has not yet been closed. This decision is a double-edged sword. On the one hand, cybercriminals also learn about the unclosed security vulnerability. On the other hand, disclosure usually puts massive pressure on the company concerned to close the vulnerability as quickly as possible.
Important to know: Cybercriminals specifically search for security vulnerabilities to exploit them for their own purposes. Ethical hackers must therefore often weigh up the likelihood that a security vulnerability they have found is already known to at least some cybercriminals.
More and more companies are making efforts to facilitate responsible disclosure for ethical hackers. For example, by setting up a special email address for such reports or providing a form.
In some cases, they also provide ethical hackers with information about the types of security vulnerabilities that are relevant to them and how they handle reports. These efforts are based on the recognition that companies benefit from the unsolicited expertise of ethical hackers.
When discovering security vulnerabilities, ethical hackers can technically be liable to prosecution. For example, if they discover that personal data is publicly accessible due to a security vulnerability – and inevitably view some of this data in the process.
Companies do not usually report ethical hackers in such cases. However, a major German political party did so after several security vulnerabilities were reported in one of its apps. In response, Europe’s largest hacker association, the Chaos Computer Club, announced that it would no longer report security vulnerabilities to this party in future.
Security vulnerabilities can cause serious damage to your company. You should therefore make it easy for ethical hackers to report them in accordance with the principle of responsible disclosure.
It is not always clear what constitutes responsible handling of newly discovered security vulnerabilities. Many companies are grateful for the precise information they receive from ethical hackers and make every effort to close the security vulnerabilities that are discovered.
Some examples of how other organisations deal with responsible disclosure:
Further helpful information can be found in the BSI document ‘Handling vulnerabilities. Recommendations for manufacturers’.
Ethical hackers usually report security vulnerabilities without asking for money. This makes it all the more important to be aware of the value of this information. Hiring ethical hackers for targeted security tests is not cheap. That is why many large companies offer rewards for reported security vulnerabilities.
So should you also pay a finder’s fee for reported security vulnerabilities? Ultimately, that is up to you. Finding and responsibly and constructively reporting security vulnerabilities can cost ethical hackers a lot of time and effort – and save you a lot of trouble. We therefore recommend that you express your thanks and appreciation in a manner appropriate to your company’s resources. This could be in the form of a bonus or particularly popular giveaways or free products. The best way is to reward them in the same way that you would like to be rewarded for a similar service.
If you have any further questions about responsible disclosure or need assistance in enabling or processing such reports, please do not hesitate to contact us.