Vorteile einer Vulnerability Disclosure Policy Vulnerability Disclosure Policy oder Bug Bounty
Vernetzte Geräte ob für Endverbraucher oder im Unternehmenseinsatz sind berüchtigt für ihre Sicherheitsmängel. Es gibt hunderte von Beispielen für schwerwiegende Datenschutzverstöße aufgrund unsicherer IoT-Geräte. Es kann also kaum verwundern, dass der Druck auf die Hersteller wächst, Schwachstellen endlich direkt an der Quelle zu adressieren.
Anbieter zum Thema

Die britische Regierung hat jüngst einen „Code of Practice“ veröffentlicht, der Hersteller von IoT-Geräten für Endverbraucher dazu verpflichtet eine Vulnerability Disclosure Policy (VDP) einzuführen um den Sicherheitsstandard zu erhöhen. Zusätzlich geplant ist ein neues Kennzeichnungssystem für vernetzte Geräte. Anhand dieser Kennzeichnung sollen Verbraucher erkennen, welchen Sicherheitslevel das Gerät hat, das sie gerade kaufen wollen.
Der Verbraucher hätte in Zukunft also die Wahl zwischen einem Gerät, dass als sicher oder als potenziell unsicher gekennzeichnet ist. Neben dem „Code of Practice“ der britischen Regierung, fordert die EU vergleichbare Maßnahmen. MEP Marietje Schaake (ALDE), Leiterin der Task Force, lässt sich mit den Worten zitieren: “Disclosing vulnerabilities to software and hardware vendors and manufacturers is crucial to protect our digital society. If we do not seriously address this issue in EU cybersecurity policies, we are acting as if only simply rearranging the deck chairs on the Titanic.”
:quality(80)/images.vogel.de/vogelonline/bdb/1532100/1532102/original.jpg)
Mehr Sicherheit durch Bug-Bounty-Programme
Jagd auf Schwachstellen als Teil des Geschäftsmodells
Der IoT-Markt ist heiß umkämpft, gerade weil Verbraucher (und Anwender in kommerziellen Einsatzgebieten) sich der mit IoT-Geräten verbundenen Cybersicherheitsrisiken mehr und mehr bewusst werden. Der zunehmende gesetzliche Druck wie in Großbritannien und seitens der EU wird sich mit ziemlicher Sicherheit auf die Wettbewerbsfähigkeit solcher Unternehmen auswirken, die Sicherheit zu lange vernachlässigt haben. Wer dank eines VDP über Schwachstellen Bescheid weiß, hat die Möglichkeit die Sicherheitsrisiken eines Produktes zu senken und das innerhalb des gesamten Produktlebenszyklus.
Auf der Suche nach Schwachstellen ausgerechnet mit Hackern zusammenzuarbeiten, mag zunächst wenig eingängig klingen, aber die Realität ist allenfalls sehr viel banaler. Die meisten „Ethical Hacker“ sind ambitionierte und engagierte Sicherheitsforscher. Ihnen ist daran gelegen, solche Schwachstellen ausfindig zu machen, die – in den falschen Händen – zu schwerwiegenden Schäden führen. Allerdings ist es wichtig bei der Zusammenarbeit mit Hacken klare Richtlinien zu haben insbesondere für die Art und Weise in der sie Schwachstellen offenlegen und melden. Es ist eine Sache des Vertrauens zwischen den beteiligten Parteien, dass Schwachstellen verantwortungsvoll offengelegt und auf der anderen Seite diese Erkenntnisse positiv aufgenommen werden. Und sich Sicherheitsforscher nicht plötzlich mit juristischen Konsequenzen ihres Handelns konfrontiert sehen.
:quality(80)/images.vogel.de/vogelonline/bdb/1449700/1449784/original.jpg)
Bug-Bounty-Programme
Mehr Security-Ressourcen durch Bug Bounties
VDP versus Bug-Bounty-Programm?
Beide Begriffe, VDP für Vulnerability Disclosure Policy, und Bug Bounty, sind nicht neu. Trotzdem kommt es immer wieder zu Verwechslungen, was genau mit dem einen oder anderen Begriff gemeint ist. Es empfiehlt sich die beiden Begriffe etwas trennschärfer voneinander abzugrenzen. Bei einem öffentlich oder privat ausgeschriebenen Bug-Bounty-Programm werden Hacker mit guten Absichten eingeladen Sicherheitsschwachstellen oder Bugs, also Programmfehler, zu finden und offenzulegen. Dafür erhalten die Hacker eine finanzielle Honorierung, die sogenannten “Bounties”.
Ein VDP ist eine privat oder öffentlich definierte Richtlinie wie Schwachstellen gefunden und in welcher Form sie nachvollzogen und veröffentlicht werden sollen. Anders als bei einem Bug-Bounty-Programm gibt es keine finanziellen Gegenleistungen. Es ist ein bisschen wie beim guten Samariter: Sollte jemand auf eine Schwachstelle stoßen, wird er sie (hoffentlich) in der beschriebenen Form melden.
Beispiele aus der Vergangenheit wie das des Sicherheitsforschers, der dem chinesischen Drohnenanbieter DJI ein nicht ganz unbeträchtliches Sicherheitsleck zur Kenntnis gebracht hatte, zeigen, dass sowohl VDPs als auch Bug-Bounty-Programme ihre Tücken haben. Man braucht ganz offensichtlich einen für alle Beteiligten geeigneten und formal einwandfreien Prozess einschließlich der eigentlichen Schwachstellenbeseitigung. Nach Befragungen von HackerOne verzichtet einer von vier Hackern sogar darauf eine entdeckte Sicherheitsschwachstelle an das betreffende Unternehmen zu melden, wenn dieses keinen entsprechenden Prozess und einen geeigneten Kommunikationskanal dafür implementiert hat. Das hat potenziell zwei Szenarien zur Folge und keines davon ist wünschenswert. Entweder die Sicherheitsschwachstelle wird früher oder später von einem Angreifer ausgenutzt, oder der frustrierte Hacker macht die Fundstelle öffentlich, ohne sich an die Maßgabe einer vertrauensvollen Offenlegung zu halten.
VDPs geben dem Finder klare Richtlinien an die Hand, strukturieren den gesamten Prozess und geben so beiden Seiten Sicherheit.
:quality(80)/images.vogel.de/vogelonline/bdb/1336600/1336632/original.jpg)
Vulnerability Reward Programs
Bug-Bounty-Programme erfolgreich nutzen
Was gehört in eine VDP?
Eine funktionierende Vulnerability Disclosure Policy basiert auf fünf grundlegend definierten Schlüsselelementen:
- 1. Zusicherung
- 2. Umfang
- 3. „Safe Harbour“
- 4. Prozess
- 5. Präferenzen
Eine VDP richtet sich zunächst an Kunden und andere externe Interessengruppen. Sie sollten im Rahmen einer VDP eine klare Zusicherung bekommen haben wie ein Unternehmen das Aufdecken, Melden und Beseitigen von Schwachstellen handhabt. Gegenstand einer VDP ist als nächstes der Umfang der eingeschlossenen Objekte, Produkte und auch welche Arten von Schwachstellen im Einzelnen im Rahmen der VDP abgedeckt werden sollen. Mit „Safe Harbour“ ist in unserem Fall gemeint, dass die Offenlegung einer Schwachstelle beziehungsweise das Melden einer solchen keine unangemessenen Strafen nach sich zieht. Das führt zwangsläufig dazu, dass es einen genau festgelegten Prozess geben muss, der definiert wie der Finder einer Schwachstelle jetzt vorgehen sollte. Auch Unternehmen, die bereits eine VDP eingezogen oder Erfahrungen mit Bug-Bounty-Programmen gesammelt haben sind mit der Zahl der eingehenden Berichte oft überfordert. Oder sie haben nicht die erforderlichen Ressourcen. Es lohnt sich also frühzeitig darüber nachzudenken, welche Erwartungen man an die VDP knüpft, welch Prioritäten man setzen will und wie genau die eingehenden Reports evaluiert werden sollen.
Dafür gibt es zahlreiche Vorlagen und Leitlinien. Auch solche, die von den zuständigen Regierungsbehörden empfohlen werden. Wie eingangs erwähnt, sprechen sich die Parlamente zunehmend für den Einsatz von VDPs als einer grundlegenden Sicherheitskomponenten aus. Standardgremien folgen dieser Ansicht. So findet man inzwischen VDP-Vorlagen, Standards und Leitlinien, die bei der Implementierung, Verwaltung und Überprüfung von VDPs helfen sollen.
Das Centre for European Policy Studies (CEPS), ein europäischer Think Tank mit Sitz in Brüssel, beschäftigt sich mit Fragen, Herausforderungen und Lösungen in der europäischen Politik. Das CEPS hat Ende 2017 einen umfänglichen Abschlussreport zum Thema VDP präsentiert, der unter anderem der VDP eine nicht unwichtige Rolle zuschreibt, wenn es um DSGVO-bezogene Datenschutz-verletzungen geht. Eine VDP kann demnach – aus Sicht der CEPS - das Risiko potenzieller Strafen gemäß DSGVO in Zusammenhang mit personenbezogenen Daten senken. Im Umkehrschluss kommt es solcherart zu einer Datenschutzverletzung und ein Unternehmen hat auf eine VDP verzichtet, könnte sich das negativ auf die Höhe des veranschlagten Strafmaßes auswirken.
Vier Schritte in Richtung einer funktionierenden VDP
Ist ein Unternehmen vom Wert einer VDP überzeugt sorgen im wesentlichen vier Schritte dafür, dass die Umsetzung gelingt:
Schritt 1: Interessengruppen und Stakeholder ins Boot holen
Ein VDP-Programm funktioniert dann am besten wenn es die Basis für ein komplettes Programm und alle zugehörigen Prozesse bildet. Die umfassen das Melden der Schwachstelle, die Offenlegung, Beseitigung, aber auch die gesamte Kommunikation und Erfolgsmessung. Hier ist nicht nur die IT-Abteilung involviert. Zumindest sollten Technik, Rechtsabteilung und Produktentwicklung in die Planung einbezogen werden. Selbst Schwachstellen, die als nicht schwerwiegend eingestuft werden, haben potenziell Einfluss auf eine Reihe von Personen und Abteilungen. Und möglichst viele sollten wenigstens informiert sein – sowohl intern wie extern.
Schritt 2: Internen Rückhalt sichern
Es ist unter Umständen nicht ganz einfach sich intern den nötigen Rückhalt für die Umsetzung der VDP zu sichern. Es gibt aber eine Vielzahl sehr brauchbarer Quellen, die entsprechende Materialien aufbereitet haben. Der Vorteil eines holistischen VDP-Ansatzes liegt vor allem in seiner Transparenz. Die betrifft die gesamte Kommunikation, die Nachvollziehbarkeit der Prozesse, und natürlich müssen die richtigen Leute an den richtigen Stellen involviert sein. Diese Vorgehensweise senkt die Risiken für unliebsame Überraschungen während des Prozesses. Und sie verhindert, dass die nötigen Prozesse am Ende doch nicht abgeschlossen werden.
Schritt 3: Zusammenführen
Ein VDP ist eine äußerst wirkungsvolle Cybersicherheitsmaßnahme, aber sie existiert nicht im luftleeren Raum. Immer mehr Regulatoren und Regierungsbehörden machen deutlich, dass ein VDP innerhalb eines umfassenden Sicherheitsansatzes zu den erwarteten Komponenten gehört (und gegebenenfalls gesetzlich eingefordert wird). Trotzdem bedarf es einiger Anstrengungen ein VDP zu implementieren und mit den individuellen Sicherheitsanforderungen einer Branche und eines Unternehmens in Einklang zu bringen. Best-Practices anderer Unternehmen bieten dabei zusätzliche Orientierungshilfen.
Schritt 4: Nehmen Sie eine Checkliste zur Hand
Ein VDP-Programm aufzusetzen, zu implementieren und aktuell zu halten ist keine ganz triviale Aufgabe. Es gibt etliche Ressourcen, die Checklisten, Standards, Leitlinien und so weiter zur Verfügung stellen. Viele sind so konzipiert, dass sie sich für unterschiedliche Anforderungsprofile anpassen lassen.
Der Schlüssel zu einem erfolgreichen VDP-Programm sind die zugrunde liegenden Prozesse. Es macht sich bezahlt am Anfang mehr Zeit zu investieren statt im Nachgang endlos mit Störfaktoren zu kämpfen. Noch weniger empfehlenswert sind Ad-hoc-Lösungen, die eher zusätzliche Risiken heraufbeschwören als sie zu senken. Im Idealfall senkt ein VDP die mit Schwachstellen verbundenen Risiken ebenso wie die Hürden beim Verwalten und es wirkt sich positiv auf die Geschäftsprozesse aus.
Über den Autor: Hazel Koch ist Advisor bei HackerOne.
(ID:46073728)