Anzeige

Security Lock

Nach wie vor haben nur die wenigsten Unternehmen eine Vulnerability Disclosure Policy (VDP) im Einsatz. Das ist verwunderlich, hilft eine VDP Unternehmen doch dabei, sicherer zu werden.

Mit einer VDP ließen sich viele Cybersicherheitsangriffe wie Datendiebstahl oder das Einschleusen von Ransomware verhindern, denn sie ermöglicht es ethischen Hackern, Schwachstellen in einem rechtlich gesicherten Umfeld aufzudecken.

Warum ist eine VDP wichtig?

Eine VDP ist für Organisationen eine Möglichkeit, Sicherheitslückenberichte von ethischen Hackern auf eine klare, strukturierte und sichere Art zu erhalten. Das kann eine einfache Textdatei oder eine detailliertere Webseite sein, die die Voraussetzungen für eine Schwachstellenmeldung genau definiert. Damit definieren Organisationen einen eindeutigen Kommunikationskanal für die Schwachstellenmeldung. Mit einer VDP können ethische Hacker Schwachstellen damit ohne Risiko melden, da sie wissen, dass das betroffene Unternehmen ihre Meldung ernst nimmt und nicht als Angriff missversteht.

Ohne VDP ergibt sich jedoch nicht selten das folgende Dilemma: Medien berichten, dass Unternehmen gehackt wurden. Kurz darauf wird bekannt, dass ein ethischer Hacker bereits vor Monaten versucht hatte, dieses Unternehmen zu kontaktieren, um auf die kritische Sicherheitslücke hinzuweisen, die jetzt von böswilligen Hackern ausgenutzt wird. Leider ist es ihm nie gelungen, mit der richtigen Person im Unternehmen in Kontakt zu treten.

Angesicht der Jahr für Jahr steigenden Anzahl von Cyberangriffen sollten Unternehmen diese Möglichkeit der Sicherung ihrer IT-Infrastruktur daher schnellstmöglich wahrnehmen. Die Vorteile einer VDP für Unternehmen sind:

  • Durch die formalisierte Möglichkeit zur Schwachstellenmeldung kann die Zeit bis zur Behebung reduziert werden.
  • Mehr Vertrauen von Partnern, Kunden oder Nutzern, da mit einer VDP der Einsatz eines Unternehmens in punkto Sicherheit deutlich wird und entsprechend wertgeschätzt wird.
  • Durch Datenintegration in die internen Arbeitsabläufe wird das Schwachstellenmanagement der Sicherheitsabteilung optimiert.

 

 

Klare Abgrenzung von Bug-Bounty-Programmen

Wichtig sowohl für Unternehmen, als auch für die Hacker ist es, VDP nicht mit einem Bug-Bounty-Programm zu verwechseln oder zu vermischen. Eine VDP ist ein passiver Ansatz: Sie bietet einen sicheren Kommunikationskanal für jeden, der in guter Absicht einen Fehler melden möchte. Im Gegensatz dazu ist Bug Bounty ein proaktiver Ansatz: Unternehmen laden ethische Hacker ein, Schwachstellen nach streng definierten Regeln zu identifizieren und zu melden. Dafür erhalten diese dann eine vorher festgelegte, finanzielle Vergütung.

Geld macht also den Hauptunterschied zwischen VDP und Bug Bounty aus: Bei Bug Bounty geht es den Sicherheitsforschern ausschließlich um die Vergütung ihrer Leistung. Bei VDP hingegen gibt es keine finanzielle Belohnung. Wenn also ein ethischer Hacker eine Schwachstelle im Rahmen einer Vulnerability Disclosure Policy meldet, ist es sein moralisches und staatsbürgerliches Bewusstsein, das ihn dabei antreibt. Daher erwartet er keine Belohnung. Er tut es nur, damit das Unternehmen von der Schwachstelle erfährt, sie qualifiziert und so schnell wie möglich behebt, um weiteren Schaden abzuwenden.

SaxX, ethischer Hacker bei YesWeHack, www.yeswehack.com


Artikel zu diesem Thema

Feb 22, 2021

Über die Rolle Internet-basierter Systeme bei der Double Extortion Ransomware

In der zweiten Jahreshälfte konnten Sicherheitsforscher weltweit einen deutlichen Anstieg…
Hacker
Dez 17, 2020

Wie Bug-Bounty-Programme Penetrationstests den Rang ablaufen

In den letzten Jahren hat sich die Art und Weise, wie IT entwickelt, geliefert und…

Weitere Artikel

Cyber Security

SASE etabliert sich als zentraler Trend der IT-Sicherheit

Unternehmen müssen die Sicherheit ihrer IT-Infrastruktur neu definieren, weil immer mehr Mitarbeiter im Homeoffice arbeiten.
Olympische Spiele

Cybersicherheit bei den Olympischen Spielen in Tokio

Seit den Olympischen Spielen 2004 in Athen ist Cybersicherheit ein immer wichtigeres Thema sowohl für Gastgeberländer als auch das Internationale Olympische Komitee (IOC). Die wachsende Abhängigkeit der Abläufe von der IT-Infrastruktur hat zu erhöhten…
rote Ampel

Wenn die Software-Ampel auf Rot springt

Fast jedes Unternehmen hat Software im Einsatz, die in die Jahre gekommen ist. Das kann ein Problem sein – muss es aber nicht. Ein Ampelprinzip hilft bei der Einschätzung, ob Handlungsbedarf besteht, erläutert der IT-Dienstleister Avision.
Smart City

Inwieweit können wir die Smart City von morgen schützen?

Die Stadt von morgen birgt viele Versprechen für Bürger und Unternehmen, angefangen bei der leichteren Nutzung von Onlinediensten der Stadtverwaltungen bis hin zum flüssigeren Verkehr. Doch jeder neue digitale Dienst ist auch eine zusätzliche Chance für…
Cloud Computing

Multi-Cloud-Umgebungen bringen größere Sicherheitsherausforderungen mit sich

Tripwire, Anbieter von Sicherheits- und Compliance-Lösungen für Unternehmen und Industrie, stellt die Ergebnisse seiner neuen Umfrage vor. Sie bewertet Cloud-Sicherheitspraktiken in Unternehmensumgebungen für das laufende Jahr 2021.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.