01.03.2021
Vulnerability Disclosure Policy
Warum jedes Unternehmen eine VDP braucht
Autor: Bernhard Lauer
Pasuwan / shutterstock.com
Der ethische Hacker SaxX, der seit vier Jahren für die Bug-Bounty-Plattform YesWeHack auf Schwachstellenjagd ist, erklärt nachfolgend die Vorteile einer VDP für Unternehmen wie auch das Dilemma, das sich ohne VDP ergibt.
Warum ist eine VDP wichtig?
Eine VDP ist für Organisationen eine Möglichkeit, Sicherheitslückenberichte von ethischen Hackern auf eine klare, strukturierte und sichere Art zu erhalten. Das kann eine einfache Textdatei oder eine detailliertere Webseite sein, die die Voraussetzungen für eine Schwachstellenmeldung genau definiert. Damit definieren Organisationen einen eindeutigen Kommunikationskanal für die Schwachstellenmeldung. Mit einer VDP können ethische Hacker Schwachstellen damit ohne Risiko melden, da sie wissen, dass das betroffene Unternehmen ihre Meldung ernst nimmt und nicht als Angriff missversteht.
Ohne VDP ergibt sich jedoch nicht selten das folgende Dilemma: Medien berichten, dass Unternehmen gehackt wurden. Kurz darauf wird bekannt, dass ein ethischer Hacker bereits vor Monaten versucht hatte, dieses Unternehmen zu kontaktieren, um auf die kritische Sicherheitslücke hinzuweisen, die jetzt von böswilligen Hackern ausgenutzt wird. Leider ist es ihm nie gelungen, mit der richtigen Person im Unternehmen in Kontakt zu treten.
Angesicht der Jahr für Jahr steigenden Anzahl von Cyberangriffen sollten Unternehmen diese Möglichkeit der Sicherung ihrer IT-Infrastruktur daher schnellstmöglich wahrnehmen. Die Vorteile einer VDP für Unternehmen sind:
- Durch die formalisierte Möglichkeit zur Schwachstellenmeldung kann die Zeit bis zur Behebung reduziert werden.
- Mehr Vertrauen von Partnern, Kunden oder Nutzern, da mit einer VDP der Einsatz eines Unternehmens in puncto Sicherheit deutlich wird und entsprechend wertgeschätzt wird.
- Durch Datenintegration in die internen Arbeitsabläufe wird das Schwachstellenmanagement der Sicherheitsabteilung optimiert.
Klare Abgrenzung von Bug-Bounty-Programmen
Wichtig sowohl für Unternehmen, als auch für die Hacker ist es, VDP nicht mit einem Bug-Bounty-Programm zu verwechseln oder zu vermischen. Eine VDP ist ein passiver Ansatz: Sie bietet einen sicheren Kommunikationskanal für jeden, der in guter Absicht einen Fehler melden möchte. Im Gegensatz dazu ist Bug Bounty ein proaktiver Ansatz: Unternehmen laden ethische Hacker ein, Schwachstellen nach streng definierten Regeln zu identifizieren und zu melden. Dafür erhalten diese dann eine vorher festgelegte, finanzielle Vergütung.
Geld macht also den Hauptunterschied zwischen VDP und Bug Bounty aus: Bei Bug Bounty geht es den Sicherheitsforschern ausschließlich um die Vergütung ihrer Leistung. Bei VDP hingegen gibt es keine finanzielle Belohnung. Wenn also ein ethischer Hacker eine Schwachstelle im Rahmen einer Vulnerability Disclosure Policy meldet, ist es sein moralisches und staatsbürgerliches Bewusstsein, das ihn dabei antreibt. Daher erwartet er keine Belohnung. Er tut es nur, damit das Unternehmen von der Schwachstelle erfährt, sie qualifiziert und so schnell wie möglich behebt, um weiteren Schaden abzuwenden.
Der Bug-Bounty-Anbieter YesWeHack bietet Unternehmen Unterstützung dabei an, eine professionelle VDP zu erstellen. Mehr Informationen zu den VDP-Services und der Verfügbarkeit für interessierte Unternehmen gibt es auf der Website und auf dem YouTube-Kanal von YesWeHack.
ServiceNow
Die generative KI von Now Assist bekommt ein Gesicht
ServiceNow hat auf seiner Kunden- und Partnerkonferenz Knowledge 2024 in Las Vegas den Ausbau der Partnerschaften mit NVIDIA und Microsoft bekannt gegeben. Künftig sollen KI-Avatare für individuellere Mitarbeiter- und Kundenerlebnisse sorgen.
>>
Wavehouse Campbell
Das Rechenzentrum aus dem 3D-Drucker
Ein Gebäude aus dem 3D-Drucker? Das ist inzwischen gar nicht mehr so ungewöhnlich. In Heidelberg ist allerdings ein ganzes Rechenzentrum auf diese Art gewachsen, derzeit das größte im 3D-Druck entstandene Gebäude in Europa.
>>
Motor der Digitalisierung
Virtuelle Doppelgänger
Digitale Zwillinge optimieren Prozesse, minimieren Ausfallzeiten und reduzieren Kosten. Es ist aber nicht trivial, sie in der Praxis aufzubauen.
>>
Management
Das sind die Verantwortungsbereiche in der Also-Konzernleitung
Kurz nach der Bekanntgabe, dass Wolfgang Krainz CEO von Also wird, veröffentlicht der Broadliner nun, wer für die verschiedenen Unternehmensbereiche verantwortlich zeichnet.
>>