:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Vorteile einer Vulnerability Disclosure Policy Vulnerability Disclosure Policy oder Bug Bounty
Vernetzte Geräte ob für Endverbraucher oder im Unternehmenseinsatz sind berüchtigt für ihre Sicherheitsmängel. Es gibt hunderte von Beispielen für schwerwiegende Datenschutzverstöße aufgrund unsicherer IoT-Geräte. Es kann also kaum verwundern, dass der Druck auf die Hersteller wächst, Schwachstellen endlich direkt an der Quelle zu adressieren.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Die britische Regierung hat jüngst einen „Code of Practice“ veröffentlicht, der Hersteller von IoT-Geräten für Endverbraucher dazu verpflichtet eine Vulnerability Disclosure Policy (VDP) einzuführen um den Sicherheitsstandard zu erhöhen. Zusätzlich geplant ist ein neues Kennzeichnungssystem für vernetzte Geräte. Anhand dieser Kennzeichnung sollen Verbraucher erkennen, welchen Sicherheitslevel das Gerät hat, das sie gerade kaufen wollen.
Der Verbraucher hätte in Zukunft also die Wahl zwischen einem Gerät, dass als sicher oder als potenziell unsicher gekennzeichnet ist. Neben dem „Code of Practice“ der britischen Regierung, fordert die EU vergleichbare Maßnahmen. MEP Marietje Schaake (ALDE), Leiterin der Task Force, lässt sich mit den Worten zitieren: “Disclosing vulnerabilities to software and hardware vendors and manufacturers is crucial to protect our digital society. If we do not seriously address this issue in EU cybersecurity policies, we are acting as if only simply rearranging the deck chairs on the Titanic.”
:quality(80)/images.vogel.de/vogelonline/bdb/1532100/1532102/original.jpg "Gerade im Geschäftsfeld der Cloud Services kann sich für Unternehmen die Investition in Bug-Bounty-Programme als Teil des Geschäftsmodells lohnen. (gemeinfrei)")
Mehr Sicherheit durch Bug-Bounty-Programme
Jagd auf Schwachstellen als Teil des Geschäftsmodells
Der IoT-Markt ist heiß umkämpft, gerade weil Verbraucher (und Anwender in kommerziellen Einsatzgebieten) sich der mit IoT-Geräten verbundenen Cybersicherheitsrisiken mehr und mehr bewusst werden. Der zunehmende gesetzliche Druck wie in Großbritannien und seitens der EU wird sich mit ziemlicher Sicherheit auf die Wettbewerbsfähigkeit solcher Unternehmen auswirken, die Sicherheit zu lange vernachlässigt haben. Wer dank eines VDP über Schwachstellen Bescheid weiß, hat die Möglichkeit die Sicherheitsrisiken eines Produktes zu senken und das innerhalb des gesamten Produktlebenszyklus.
Auf der Suche nach Schwachstellen ausgerechnet mit Hackern zusammenzuarbeiten, mag zunächst wenig eingängig klingen, aber die Realität ist allenfalls sehr viel banaler. Die meisten „Ethical Hacker“ sind ambitionierte und engagierte Sicherheitsforscher. Ihnen ist daran gelegen, solche Schwachstellen ausfindig zu machen, die – in den falschen Händen – zu schwerwiegenden Schäden führen. Allerdings ist es wichtig bei der Zusammenarbeit mit Hacken klare Richtlinien zu haben insbesondere für die Art und Weise in der sie Schwachstellen offenlegen und melden. Es ist eine Sache des Vertrauens zwischen den beteiligten Parteien, dass Schwachstellen verantwortungsvoll offengelegt und auf der anderen Seite diese Erkenntnisse positiv aufgenommen werden. Und sich Sicherheitsforscher nicht plötzlich mit juristischen Konsequenzen ihres Handelns konfrontiert sehen.
:quality(80)/images.vogel.de/vogelonline/bdb/1449700/1449784/original.jpg "77 Prozent der Bug-Bounty-Programme decken die erste Schwachstelle innerhalb der ersten 24 Stunden auf. (Pixabay)")
Bug-Bounty-Programme
Mehr Security-Ressourcen durch Bug Bounties
VDP versus Bug-Bounty-Programm?
Beide Begriffe, VDP für Vulnerability Disclosure Policy, und Bug Bounty, sind nicht neu. Trotzdem kommt es immer wieder zu Verwechslungen, was genau mit dem einen oder anderen Begriff gemeint ist. Es empfiehlt sich die beiden Begriffe etwas trennschärfer voneinander abzugrenzen. Bei einem öffentlich oder privat ausgeschriebenen Bug-Bounty-Programm werden Hacker mit guten Absichten eingeladen Sicherheitsschwachstellen oder Bugs, also Programmfehler, zu finden und offenzulegen. Dafür erhalten die Hacker eine finanzielle Honorierung, die sogenannten “Bounties”.
Ein VDP ist eine privat oder öffentlich definierte Richtlinie wie Schwachstellen gefunden und in welcher Form sie nachvollzogen und veröffentlicht werden sollen. Anders als bei einem Bug-Bounty-Programm gibt es keine finanziellen Gegenleistungen. Es ist ein bisschen wie beim guten Samariter: Sollte jemand auf eine Schwachstelle stoßen, wird er sie (hoffentlich) in der beschriebenen Form melden.
Beispiele aus der Vergangenheit wie das des Sicherheitsforschers, der dem chinesischen Drohnenanbieter DJI ein nicht ganz unbeträchtliches Sicherheitsleck zur Kenntnis gebracht hatte, zeigen, dass sowohl VDPs als auch Bug-Bounty-Programme ihre Tücken haben. Man braucht ganz offensichtlich einen für alle Beteiligten geeigneten und formal einwandfreien Prozess einschließlich der eigentlichen Schwachstellenbeseitigung. Nach Befragungen von HackerOne verzichtet einer von vier Hackern sogar darauf eine entdeckte Sicherheitsschwachstelle an das betreffende Unternehmen zu melden, wenn dieses keinen entsprechenden Prozess und einen geeigneten Kommunikationskanal dafür implementiert hat. Das hat potenziell zwei Szenarien zur Folge und keines davon ist wünschenswert. Entweder die Sicherheitsschwachstelle wird früher oder später von einem Angreifer ausgenutzt, oder der frustrierte Hacker macht die Fundstelle öffentlich, ohne sich an die Maßgabe einer vertrauensvollen Offenlegung zu halten.
VDPs geben dem Finder klare Richtlinien an die Hand, strukturieren den gesamten Prozess und geben so beiden Seiten Sicherheit.
:quality(80)/images.vogel.de/vogelonline/bdb/1336600/1336632/original.jpg "Immer mehr Firmen außerhalb der Tech-Industrie starten erfolgreiche Bug Bounty Programme. (Pixabay)")
Vulnerability Reward Programs
Bug-Bounty-Programme erfolgreich nutzen
Was gehört in eine VDP?
Eine funktionierende Vulnerability Disclosure Policy basiert auf fünf grundlegend definierten Schlüsselelementen:
- 1. Zusicherung
- 2. Umfang
- 3. „Safe Harbour“
- 4. Prozess
- 5. Präferenzen
Eine VDP richtet sich zunächst an Kunden und andere externe Interessengruppen. Sie sollten im Rahmen einer VDP eine klare Zusicherung bekommen haben wie ein Unternehmen das Aufdecken, Melden und Beseitigen von Schwachstellen handhabt. Gegenstand einer VDP ist als nächstes der Umfang der eingeschlossenen Objekte, Produkte und auch welche Arten von Schwachstellen im Einzelnen im Rahmen der VDP abgedeckt werden sollen. Mit „Safe Harbour“ ist in unserem Fall gemeint, dass die Offenlegung einer Schwachstelle beziehungsweise das Melden einer solchen keine unangemessenen Strafen nach sich zieht. Das führt zwangsläufig dazu, dass es einen genau festgelegten Prozess geben muss, der definiert wie der Finder einer Schwachstelle jetzt vorgehen sollte. Auch Unternehmen, die bereits eine VDP eingezogen oder Erfahrungen mit Bug-Bounty-Programmen gesammelt haben sind mit der Zahl der eingehenden Berichte oft überfordert. Oder sie haben nicht die erforderlichen Ressourcen. Es lohnt sich also frühzeitig darüber nachzudenken, welche Erwartungen man an die VDP knüpft, welch Prioritäten man setzen will und wie genau die eingehenden Reports evaluiert werden sollen.
Dafür gibt es zahlreiche Vorlagen und Leitlinien. Auch solche, die von den zuständigen Regierungsbehörden empfohlen werden. Wie eingangs erwähnt, sprechen sich die Parlamente zunehmend für den Einsatz von VDPs als einer grundlegenden Sicherheitskomponenten aus. Standardgremien folgen dieser Ansicht. So findet man inzwischen VDP-Vorlagen, Standards und Leitlinien, die bei der Implementierung, Verwaltung und Überprüfung von VDPs helfen sollen.
Das Centre for European Policy Studies (CEPS), ein europäischer Think Tank mit Sitz in Brüssel, beschäftigt sich mit Fragen, Herausforderungen und Lösungen in der europäischen Politik. Das CEPS hat Ende 2017 einen umfänglichen Abschlussreport zum Thema VDP präsentiert, der unter anderem der VDP eine nicht unwichtige Rolle zuschreibt, wenn es um DSGVO-bezogene Datenschutz-verletzungen geht. Eine VDP kann demnach – aus Sicht der CEPS - das Risiko potenzieller Strafen gemäß DSGVO in Zusammenhang mit personenbezogenen Daten senken. Im Umkehrschluss kommt es solcherart zu einer Datenschutzverletzung und ein Unternehmen hat auf eine VDP verzichtet, könnte sich das negativ auf die Höhe des veranschlagten Strafmaßes auswirken.
Vier Schritte in Richtung einer funktionierenden VDP
Ist ein Unternehmen vom Wert einer VDP überzeugt sorgen im wesentlichen vier Schritte dafür, dass die Umsetzung gelingt:
Schritt 1: Interessengruppen und Stakeholder ins Boot holen
Ein VDP-Programm funktioniert dann am besten wenn es die Basis für ein komplettes Programm und alle zugehörigen Prozesse bildet. Die umfassen das Melden der Schwachstelle, die Offenlegung, Beseitigung, aber auch die gesamte Kommunikation und Erfolgsmessung. Hier ist nicht nur die IT-Abteilung involviert. Zumindest sollten Technik, Rechtsabteilung und Produktentwicklung in die Planung einbezogen werden. Selbst Schwachstellen, die als nicht schwerwiegend eingestuft werden, haben potenziell Einfluss auf eine Reihe von Personen und Abteilungen. Und möglichst viele sollten wenigstens informiert sein – sowohl intern wie extern.
Schritt 2: Internen Rückhalt sichern
Es ist unter Umständen nicht ganz einfach sich intern den nötigen Rückhalt für die Umsetzung der VDP zu sichern. Es gibt aber eine Vielzahl sehr brauchbarer Quellen, die entsprechende Materialien aufbereitet haben. Der Vorteil eines holistischen VDP-Ansatzes liegt vor allem in seiner Transparenz. Die betrifft die gesamte Kommunikation, die Nachvollziehbarkeit der Prozesse, und natürlich müssen die richtigen Leute an den richtigen Stellen involviert sein. Diese Vorgehensweise senkt die Risiken für unliebsame Überraschungen während des Prozesses. Und sie verhindert, dass die nötigen Prozesse am Ende doch nicht abgeschlossen werden.
Schritt 3: Zusammenführen
Ein VDP ist eine äußerst wirkungsvolle Cybersicherheitsmaßnahme, aber sie existiert nicht im luftleeren Raum. Immer mehr Regulatoren und Regierungsbehörden machen deutlich, dass ein VDP innerhalb eines umfassenden Sicherheitsansatzes zu den erwarteten Komponenten gehört (und gegebenenfalls gesetzlich eingefordert wird). Trotzdem bedarf es einiger Anstrengungen ein VDP zu implementieren und mit den individuellen Sicherheitsanforderungen einer Branche und eines Unternehmens in Einklang zu bringen. Best-Practices anderer Unternehmen bieten dabei zusätzliche Orientierungshilfen.
Schritt 4: Nehmen Sie eine Checkliste zur Hand
Ein VDP-Programm aufzusetzen, zu implementieren und aktuell zu halten ist keine ganz triviale Aufgabe. Es gibt etliche Ressourcen, die Checklisten, Standards, Leitlinien und so weiter zur Verfügung stellen. Viele sind so konzipiert, dass sie sich für unterschiedliche Anforderungsprofile anpassen lassen.
Der Schlüssel zu einem erfolgreichen VDP-Programm sind die zugrunde liegenden Prozesse. Es macht sich bezahlt am Anfang mehr Zeit zu investieren statt im Nachgang endlos mit Störfaktoren zu kämpfen. Noch weniger empfehlenswert sind Ad-hoc-Lösungen, die eher zusätzliche Risiken heraufbeschwören als sie zu senken. Im Idealfall senkt ein VDP die mit Schwachstellen verbundenen Risiken ebenso wie die Hürden beim Verwalten und es wirkt sich positiv auf die Geschäftsprozesse aus.
Über den Autor: Hazel Koch ist Advisor bei HackerOne.
(ID:46073728)
:quality(80)/images.vogel.de/vogelonline/bdb/1881500/1881522/original.jpg "In der DACH-Region ist die Schweiz das einzige Land, das ein eVoting-System aufbaut. (SriWidiawati - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1939300/1939337/original.jpg "Die Software-Supply-Chain muss sicherer werden, denn unsichere Geräte erweitern die Angriffsfläche und gefährden die Sicherheit des ganzen Unternehmens. (Eisenhans - stock.adobe.com)")