Unbekannte Schwachstellen – die Verantwortung des Finders

usd AG Cyber Defence, News, Security Research

Immer wieder identifizieren Security Analysten des usd HeroLabs im Rahmen ihrer Arbeit bis dato unbekannte Schwachstellen in Produkten. Für diese sogenannten Zero-Day-Schwachstellen existieren bislang keine Sicherheitspatches (Korrekturauslieferungen zur Behebung der Sicherheitslücken). Der verantwortungsvolle Umgang mit diesem Wissen ist also essentiell, um Hersteller dabei zu unterstützen, zeitnah Lösungen zu finden und kritische Einfallstore für Hacker zu schließen.

Die usd AG hat hierzu einen systematischen und koordinierten Prozess implementiert, in dem gefundene Schwachstellen in Standardprodukten zeitnah an Hersteller gemeldet werden.

Ziel dieses sogenannten „Responsible Disclosure“ (der verantwortungsvollen Veröffentlichung) ist es, gemeinsam mit dem Hersteller sicherzustellen, dass Schwachstellen durch die Bereitstellung von Sicherheitspatches zeitnah beseitigt werden und sich Unternehmen und Anwender dadurch schützen können. Nachfolgend ist der Prozess hierzu geschildert.

Initialer Kontakt

Die usd AG versucht zunächst, eine verschlüsselte Kommunikation mit dem Sicherheitsteam, IT Operations oder dem Entwicklungsteam des Herstellers aufzubauen. Die usd AG unternimmt dabei mehrere Kontaktversuche über unterschiedliche Kommunikationskanäle.

Verschlüsselter Informationsaustausch

Um die Ergebnisse unserer Arbeit zwecks Nachstellung und Behebung der Schwachstelle sicher zu kommunizieren, wird ein geeigneter Weg zur sicheren, verschlüsselten Kommunikation abgestimmt. Die usd AG stellt hierzu verschiedene Varianten der Verschlüsselung zur Verfügung.

Begleitung des Herstellers

Sollten im Rahmen der Behebung seitens des Herstellers Unklarheiten oder Fragen aufkommen, stehen die Security Analysten des usd HeroLabs für Rückfragen gerne zur Verfügung und stellen benötigte Details, beispielsweise in Form von Beratung, technischen Beschreibungen oder auch Videos, bereit.

Veröffentlichung

Nach der Behebung veröffentlicht die usd AG in Abstimmung mit dem Hersteller eine Beschreibung der Schwachstelle sowie detaillierte technische Informationen in Form eines Security Advisories auf der usd HeroLab Webseite. Gleichzeitig wird auf die Möglichkeiten zur Behebung der Schwachstelle, beispielsweise durch vom Hersteller bereitgestellte Updates, verwiesen.

Gemäß unserer Mission „more security“ fühlen wir uns verpflichtet, eine zeitnahe Behebung gleichermaßen zu fordern und zu unterstützen. Aus diesem Grund streben wir eine Veröffentlichung nach maximal 60 Tagen ab dem initialen Kontakt zum Hersteller an. Wir sind uns bewusst, dass diese Zeitspanne eine ambitionierte Deadline für viele Unternehmen sein kann. In begründeten Fällen weichen wir daher von dieser Deadline ab und räumen für die Veröffentlichung mehr Zeit ein.

Bei der Veröffentlichung von Schwachstellen ist die usd stets bestrebt, verantwortungsbewusst und im Sinne der allgemeinen Sicherheit zu handeln. Wir weichen nur in solchen Fällen von unserem Standardprozess und insbesondere der Deadline für die Veröffentlichung ab, in denen durch eine andere Vorgehensweise die Risiken aller betroffenen Parteien nachweislich gemindert werden.