:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Vorteile einer Vulnerability Disclosure Policy Vulnerability Disclosure Policy oder Bug Bounty
Vernetzte Geräte ob für Endverbraucher oder im Unternehmenseinsatz sind berüchtigt für ihre Sicherheitsmängel. Es gibt hunderte von Beispielen für schwerwiegende Datenschutzverstöße aufgrund unsicherer IoT-Geräte. Es kann also kaum verwundern, dass der Druck auf die Hersteller wächst, Schwachstellen endlich direkt an der Quelle zu adressieren.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Die britische Regierung hat jüngst einen „Code of Practice“ veröffentlicht, der Hersteller von IoT-Geräten für Endverbraucher dazu verpflichtet eine Vulnerability Disclosure Policy (VDP) einzuführen um den Sicherheitsstandard zu erhöhen. Zusätzlich geplant ist ein neues Kennzeichnungssystem für vernetzte Geräte. Anhand dieser Kennzeichnung sollen Verbraucher erkennen, welchen Sicherheitslevel das Gerät hat, das sie gerade kaufen wollen.
Der Verbraucher hätte in Zukunft also die Wahl zwischen einem Gerät, dass als sicher oder als potenziell unsicher gekennzeichnet ist. Neben dem „Code of Practice“ der britischen Regierung, fordert die EU vergleichbare Maßnahmen. MEP Marietje Schaake (ALDE), Leiterin der Task Force, lässt sich mit den Worten zitieren: “Disclosing vulnerabilities to software and hardware vendors and manufacturers is crucial to protect our digital society. If we do not seriously address this issue in EU cybersecurity policies, we are acting as if only simply rearranging the deck chairs on the Titanic.”
:quality(80)/images.vogel.de/vogelonline/bdb/1532100/1532102/original.jpg "Gerade im Geschäftsfeld der Cloud Services kann sich für Unternehmen die Investition in Bug-Bounty-Programme als Teil des Geschäftsmodells lohnen. (gemeinfrei)")
Mehr Sicherheit durch Bug-Bounty-Programme
Jagd auf Schwachstellen als Teil des Geschäftsmodells
Der IoT-Markt ist heiß umkämpft, gerade weil Verbraucher (und Anwender in kommerziellen Einsatzgebieten) sich der mit IoT-Geräten verbundenen Cybersicherheitsrisiken mehr und mehr bewusst werden. Der zunehmende gesetzliche Druck wie in Großbritannien und seitens der EU wird sich mit ziemlicher Sicherheit auf die Wettbewerbsfähigkeit solcher Unternehmen auswirken, die Sicherheit zu lange vernachlässigt haben. Wer dank eines VDP über Schwachstellen Bescheid weiß, hat die Möglichkeit die Sicherheitsrisiken eines Produktes zu senken und das innerhalb des gesamten Produktlebenszyklus.
Auf der Suche nach Schwachstellen ausgerechnet mit Hackern zusammenzuarbeiten, mag zunächst wenig eingängig klingen, aber die Realität ist allenfalls sehr viel banaler. Die meisten „Ethical Hacker“ sind ambitionierte und engagierte Sicherheitsforscher. Ihnen ist daran gelegen, solche Schwachstellen ausfindig zu machen, die – in den falschen Händen – zu schwerwiegenden Schäden führen. Allerdings ist es wichtig bei der Zusammenarbeit mit Hacken klare Richtlinien zu haben insbesondere für die Art und Weise in der sie Schwachstellen offenlegen und melden. Es ist eine Sache des Vertrauens zwischen den beteiligten Parteien, dass Schwachstellen verantwortungsvoll offengelegt und auf der anderen Seite diese Erkenntnisse positiv aufgenommen werden. Und sich Sicherheitsforscher nicht plötzlich mit juristischen Konsequenzen ihres Handelns konfrontiert sehen.
:quality(80)/images.vogel.de/vogelonline/bdb/1449700/1449784/original.jpg "77 Prozent der Bug-Bounty-Programme decken die erste Schwachstelle innerhalb der ersten 24 Stunden auf. (Pixabay)")
Bug-Bounty-Programme
Mehr Security-Ressourcen durch Bug Bounties
VDP versus Bug-Bounty-Programm?
Beide Begriffe, VDP für Vulnerability Disclosure Policy, und Bug Bounty, sind nicht neu. Trotzdem kommt es immer wieder zu Verwechslungen, was genau mit dem einen oder anderen Begriff gemeint ist. Es empfiehlt sich die beiden Begriffe etwas trennschärfer voneinander abzugrenzen. Bei einem öffentlich oder privat ausgeschriebenen Bug-Bounty-Programm werden Hacker mit guten Absichten eingeladen Sicherheitsschwachstellen oder Bugs, also Programmfehler, zu finden und offenzulegen. Dafür erhalten die Hacker eine finanzielle Honorierung, die sogenannten “Bounties”.
Ein VDP ist eine privat oder öffentlich definierte Richtlinie wie Schwachstellen gefunden und in welcher Form sie nachvollzogen und veröffentlicht werden sollen. Anders als bei einem Bug-Bounty-Programm gibt es keine finanziellen Gegenleistungen. Es ist ein bisschen wie beim guten Samariter: Sollte jemand auf eine Schwachstelle stoßen, wird er sie (hoffentlich) in der beschriebenen Form melden.
Beispiele aus der Vergangenheit wie das des Sicherheitsforschers, der dem chinesischen Drohnenanbieter DJI ein nicht ganz unbeträchtliches Sicherheitsleck zur Kenntnis gebracht hatte, zeigen, dass sowohl VDPs als auch Bug-Bounty-Programme ihre Tücken haben. Man braucht ganz offensichtlich einen für alle Beteiligten geeigneten und formal einwandfreien Prozess einschließlich der eigentlichen Schwachstellenbeseitigung. Nach Befragungen von HackerOne verzichtet einer von vier Hackern sogar darauf eine entdeckte Sicherheitsschwachstelle an das betreffende Unternehmen zu melden, wenn dieses keinen entsprechenden Prozess und einen geeigneten Kommunikationskanal dafür implementiert hat. Das hat potenziell zwei Szenarien zur Folge und keines davon ist wünschenswert. Entweder die Sicherheitsschwachstelle wird früher oder später von einem Angreifer ausgenutzt, oder der frustrierte Hacker macht die Fundstelle öffentlich, ohne sich an die Maßgabe einer vertrauensvollen Offenlegung zu halten.
VDPs geben dem Finder klare Richtlinien an die Hand, strukturieren den gesamten Prozess und geben so beiden Seiten Sicherheit.
:quality(80)/images.vogel.de/vogelonline/bdb/1336600/1336632/original.jpg "Immer mehr Firmen außerhalb der Tech-Industrie starten erfolgreiche Bug Bounty Programme. (Pixabay)")
Vulnerability Reward Programs
Bug-Bounty-Programme erfolgreich nutzen
Was gehört in eine VDP?
Eine funktionierende Vulnerability Disclosure Policy basiert auf fünf grundlegend definierten Schlüsselelementen:
- 1. Zusicherung
- 2. Umfang
- 3. „Safe Harbour“
- 4. Prozess
- 5. Präferenzen
Eine VDP richtet sich zunächst an Kunden und andere externe Interessengruppen. Sie sollten im Rahmen einer VDP eine klare Zusicherung bekommen haben wie ein Unternehmen das Aufdecken, Melden und Beseitigen von Schwachstellen handhabt. Gegenstand einer VDP ist als nächstes der Umfang der eingeschlossenen Objekte, Produkte und auch welche Arten von Schwachstellen im Einzelnen im Rahmen der VDP abgedeckt werden sollen. Mit „Safe Harbour“ ist in unserem Fall gemeint, dass die Offenlegung einer Schwachstelle beziehungsweise das Melden einer solchen keine unangemessenen Strafen nach sich zieht. Das führt zwangsläufig dazu, dass es einen genau festgelegten Prozess geben muss, der definiert wie der Finder einer Schwachstelle jetzt vorgehen sollte. Auch Unternehmen, die bereits eine VDP eingezogen oder Erfahrungen mit Bug-Bounty-Programmen gesammelt haben sind mit der Zahl der eingehenden Berichte oft überfordert. Oder sie haben nicht die erforderlichen Ressourcen. Es lohnt sich also frühzeitig darüber nachzudenken, welche Erwartungen man an die VDP knüpft, welch Prioritäten man setzen will und wie genau die eingehenden Reports evaluiert werden sollen.
Dafür gibt es zahlreiche Vorlagen und Leitlinien. Auch solche, die von den zuständigen Regierungsbehörden empfohlen werden. Wie eingangs erwähnt, sprechen sich die Parlamente zunehmend für den Einsatz von VDPs als einer grundlegenden Sicherheitskomponenten aus. Standardgremien folgen dieser Ansicht. So findet man inzwischen VDP-Vorlagen, Standards und Leitlinien, die bei der Implementierung, Verwaltung und Überprüfung von VDPs helfen sollen.
Das Centre for European Policy Studies (CEPS), ein europäischer Think Tank mit Sitz in Brüssel, beschäftigt sich mit Fragen, Herausforderungen und Lösungen in der europäischen Politik. Das CEPS hat Ende 2017 einen umfänglichen Abschlussreport zum Thema VDP präsentiert, der unter anderem der VDP eine nicht unwichtige Rolle zuschreibt, wenn es um DSGVO-bezogene Datenschutz-verletzungen geht. Eine VDP kann demnach – aus Sicht der CEPS - das Risiko potenzieller Strafen gemäß DSGVO in Zusammenhang mit personenbezogenen Daten senken. Im Umkehrschluss kommt es solcherart zu einer Datenschutzverletzung und ein Unternehmen hat auf eine VDP verzichtet, könnte sich das negativ auf die Höhe des veranschlagten Strafmaßes auswirken.
Vier Schritte in Richtung einer funktionierenden VDP
Ist ein Unternehmen vom Wert einer VDP überzeugt sorgen im wesentlichen vier Schritte dafür, dass die Umsetzung gelingt:
Schritt 1: Interessengruppen und Stakeholder ins Boot holen
Ein VDP-Programm funktioniert dann am besten wenn es die Basis für ein komplettes Programm und alle zugehörigen Prozesse bildet. Die umfassen das Melden der Schwachstelle, die Offenlegung, Beseitigung, aber auch die gesamte Kommunikation und Erfolgsmessung. Hier ist nicht nur die IT-Abteilung involviert. Zumindest sollten Technik, Rechtsabteilung und Produktentwicklung in die Planung einbezogen werden. Selbst Schwachstellen, die als nicht schwerwiegend eingestuft werden, haben potenziell Einfluss auf eine Reihe von Personen und Abteilungen. Und möglichst viele sollten wenigstens informiert sein – sowohl intern wie extern.
Schritt 2: Internen Rückhalt sichern
Es ist unter Umständen nicht ganz einfach sich intern den nötigen Rückhalt für die Umsetzung der VDP zu sichern. Es gibt aber eine Vielzahl sehr brauchbarer Quellen, die entsprechende Materialien aufbereitet haben. Der Vorteil eines holistischen VDP-Ansatzes liegt vor allem in seiner Transparenz. Die betrifft die gesamte Kommunikation, die Nachvollziehbarkeit der Prozesse, und natürlich müssen die richtigen Leute an den richtigen Stellen involviert sein. Diese Vorgehensweise senkt die Risiken für unliebsame Überraschungen während des Prozesses. Und sie verhindert, dass die nötigen Prozesse am Ende doch nicht abgeschlossen werden.
Schritt 3: Zusammenführen
Ein VDP ist eine äußerst wirkungsvolle Cybersicherheitsmaßnahme, aber sie existiert nicht im luftleeren Raum. Immer mehr Regulatoren und Regierungsbehörden machen deutlich, dass ein VDP innerhalb eines umfassenden Sicherheitsansatzes zu den erwarteten Komponenten gehört (und gegebenenfalls gesetzlich eingefordert wird). Trotzdem bedarf es einiger Anstrengungen ein VDP zu implementieren und mit den individuellen Sicherheitsanforderungen einer Branche und eines Unternehmens in Einklang zu bringen. Best-Practices anderer Unternehmen bieten dabei zusätzliche Orientierungshilfen.
Schritt 4: Nehmen Sie eine Checkliste zur Hand
Ein VDP-Programm aufzusetzen, zu implementieren und aktuell zu halten ist keine ganz triviale Aufgabe. Es gibt etliche Ressourcen, die Checklisten, Standards, Leitlinien und so weiter zur Verfügung stellen. Viele sind so konzipiert, dass sie sich für unterschiedliche Anforderungsprofile anpassen lassen.
Der Schlüssel zu einem erfolgreichen VDP-Programm sind die zugrunde liegenden Prozesse. Es macht sich bezahlt am Anfang mehr Zeit zu investieren statt im Nachgang endlos mit Störfaktoren zu kämpfen. Noch weniger empfehlenswert sind Ad-hoc-Lösungen, die eher zusätzliche Risiken heraufbeschwören als sie zu senken. Im Idealfall senkt ein VDP die mit Schwachstellen verbundenen Risiken ebenso wie die Hürden beim Verwalten und es wirkt sich positiv auf die Geschäftsprozesse aus.
Über den Autor: Hazel Koch ist Advisor bei HackerOne.
(ID:46073728)
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cb/87/cb874b03631457a90ee26688ba9408bf/0108224527.jpeg "Dass Sicherheitsforscher Schwachstellen früher entdecken und veröffentlichen ist ein gutes Zeichen. Allerdings bedeutet es auch, dass Hacker Zero-Day-Schwachstellen künftig noch schneller ausnutzen werden. (Bild: kentoh - stock.adobe.com)")