Verantwortliche Offenlegung

Verantwortlich Offenlegung bezieht sich auf die bewährte Vorgehensweise der meisten Sicherheitsforscher, kritische Informationen nicht offenzulegen. Verwundbarkeit in einem Softwareprodukt, bis ein Patch oder Fix des Herstellers verfügbar ist. Dies kommt oft zum Tragen, wenn Teams wie Googles Project Zero, ein Team, das Sicherheitslücken aufspürt und behebt, eine Schwachstelle entdeckt und die Informationen nicht öffentlich macht. Der Grund dafür, dass die Sicherheitsanalysten und -forscher die Informationen nicht öffentlich teilen können, ist, dass Hacker als auch Cyberkriminelle Angriffe und Ausnutzungen der gemeldeten Schwachstelle sind oft deutlich schneller möglich, als Anbieter einen Patch bereitstellen können. Kunden können diesen Patch dann einsetzen, um sich selbst und ihre Netzwerke, Daten und Systeme zu schützen. Daher wird dies als „Responsible Disclosure“ bezeichnet und gilt als bewährte Vorgehensweise, obwohl es keine Gesetze gibt, die Sicherheitsforscher dazu verpflichten. 

Verwandte Begriffe: Bug Bounty-Programme,Verwundbarkeit, Zero-Day-Sicherheitslücke

Zugehöriges Lesen: Die Herausforderungen der Cyber-Forschung und der Offenlegung von Schwachstellen bei vernetzten Gesundheitsgeräten

Quelle: CSO Online

Sollten KMU mit Responsible Disclosure vertraut sein?

Ja. Viele KMUs entwickeln Software für den Online-Vertrieb und die Online-Nutzung. Als Inhaber eines KMUs sollten Sie darüber nachdenken, eine Bug Bounty Programm für Ihr Produkt, das fördert „verantwortungsvolle Offenlegung“ von Sicherheitsforschern. Dies ist ein kleiner finanzieller Anreiz für Leute, die einen kritischen Fehler in Ihrer Software finden, diese an Sie weiterzugeben, anstatt sie im Darknet oder Deep Web zu verkaufen.

Zweitens sollten KMUs über einen Vulnerability Alert Management Process (VAMP) verfügen, der die Zielzeitpläne für die Behebung kritischer Schwachstellen in der von Ihnen genutzten Software und Hardware festlegt. Bei Fehlern der Schwere 1, die Ihr Netzwerk, Ihre Daten oder Ihre Systeme gefährden könnten, müssen Sie die Patches so schnell wie möglich durchführen.

CyberHoot verfügt über einen VAMP-Prozess, der kleinen und mittleren Unternehmen (KMU) dabei hilft, ihre eigenen Best Practices in Bezug auf Zero-Day-Schwachstellen, Patching und verantwortungsvolle Offenlegung zu entwickeln.

Weitere Informationen zur verantwortungsvollen Offenlegung von Sicherheitslücken gegenüber Hardware- und Softwareanbietern finden Sie in diesem Video:

https://youtube.com/watch?v=t5UKO4jjevw

Tun Sie genug, um Ihr Unternehmen zu schützen?

Melden Sie sich noch heute bei CyberHoot an und schlafen Sie besser, da Sie wissen,

Mitarbeiter sind im Cyberspace geschult und auf der Hut!

Jetzt anmelden!