Vulnerability-Disclosure-Policy : Basis für eine Zusammenarbeit zwischen Hackern und Unternehmen
In den weltweiten Netzen gibt es neben kriminellen Angreifern auch jede Menge Hacker, die gute Absichten verfolgen. Über klare Richtlinien zum Umgang mit gemeldeten Schwachstellen kann man sich diese „unbeauftragten Pentester“ zunutze machen und allenthalben für mehr Sicherheit sorgen.
Von Rayna Stamboliyska, Paris
Um eigene Schwachstellen aufdecken und anschließend beheben zu können, ist auch die geregelte Zusammenarbeit mit Hackern auf Basis einer Vulnerability-Disclosure-Policy (VDP) für Unternehmen eine vielversprechende Option. Denn Technologie wird nie vollständig fehlerfrei sein und es wird wohl niemals die eine IT-Security-Lösung zum Schutz jedes digitalen Assets geben. Darüber hinaus ist es nahezu unmöglich, zu jedem Zeitpunkt zu wissen, welche Produkte gerade online im Einsatz sind und ob alle Updates gemäß der Sicherheitsvorschriften und Best Practices durchgeführt wurden.
Mit Hackern zu kooperieren mag manchen zuerst einmal abwegig erscheinen. Aber während Cyberkriminelle und böswillige Angreifer oft die Schlagzeilen bestimmen und die Akteure dabei nicht selten pauschal als Hacker bezeichnet werden, haben die allermeisten wirklichen Hacker gute Absichten – wo man das unterstreichen will, ist oft von „Ethical“ oder „White Hat“-Hackern die Rede. Ihnen ist daran gelegen, Schwachstellen zu finden, die in den falschen Händen großen Schaden anrichten könnten – sie sind überzeugt, dass jeder für die Sicherheit verantwortlich ist. Ihr Beitrag, dieser Verantwortung ein Stück weit gerecht zu werden, besteht unter anderem darin, Organisationen vor ihren eigenen Schwachstellen zu warnen – auch wenn sie dabei nicht immer alle Regeln einhalten, gibt es doch Kodizes, Leitlinien und Grenzen (vgl. etwa www.ccc.de/hackerethik).
Allerdings ist die Zusammenarbeit mit Hackern für viele Unternehmen, Behörden und Regierungsorganisationen noch immer ein neues und äußerst sensibles Feld. Umso wichtiger ist es, einen klaren Prozess zu definieren, wie (ethisch handelnde) Hacker eine potenzielle Sicherheitsschwachstelle melden können. Richtlinien, die diesen Prozess festschreiben, werden als Vulnerability-Disclosure-Policy (VDP) bezeichnet und unter anderem von der Europäischen Kommission [1] oder den Justizministerien der Niederlande [2] und der USA [3] empfohlen.
Inhalte einer VDP
Bei einer VDP handelt es sich um klare, rechtlich verbindliche Richtlinien für die Zusammenarbeit mit Hackern, die öffentlich kommuniziert werden und zu denen sich Organisationen somit a priori bekennen. Sie legen insbesondere fest, wie genau man entdeckte Schwachstellen an das Unternehmen melden soll. Halten sich Hacker an diese Regeln, verpflichtet sich das Unternehmen, keine rechtlichen Schritte gegen sie zu unternehmen – somit müssen hilfsbereite Hacker dann keine ungewünschten juristischen Konsequenzen ihrer Aktivitäten fürchten.
Um diese Sicherheit für beide Seiten zu gewährleisten, sollte eine VDP folgende Elemente enthalten:
- Verpflichtungserklärung zugunsten eines verbesserten Services und der Sicherheit von Benutzerdaten: Diese Botschaft richtet sich nicht nur an ethische Hacker, sondern auch an andere Stakeholder wie etwa Kunden, Medien und potenzielle Partner.
- Rechtssicherheit für ethische Hacker, die Fehler identifizieren: Das schafft Vertrauen zwischen den Hackern und der betreffenden Organisation. Wenn eine Belohnung vorgesehen ist (z. B. in einer „Hall of Fame“), sollte dies ebenfalls hier festgelegt sein.
- Präzise Abgrenzung, um den von der VDP abgedeckten Bereich zu definieren: Dabei kann es auch sinnvoll sein, in einem Abschnitt aufzuführen, was außerhalb dieses Bereichs liegt, da eine Organisation möglicherweise keine Berichte über Fehler in veralteten Versionen erhalten möchte. Neben der Auflistung aller Assets, die in den Anwendungsbereich fallen, ist es angebracht, die Arten von Schwachstellen festzuschreiben, die gemeldet werden müssen – manche Schwachstellen verursachen keinen echten Schaden, manche könnten dem Unternehmen bereits bekannt sein.
- Angaben zum Schwachstellenbericht: Dazu gehören ein Mechanismus zu seinem Einreichen und genaue Informationen zum gewünschten Inhalt – beispielsweise technische Einzelheiten oder das gewünschte Format. Dieser Bereich ist von wesentlicher Bedeutung, da er festlegt, wie genau der „Erstkontakt“ stattfinden soll, und weil er die Kommunikation zwischen einem Hacker und der Organisation so einfach wie möglich machen soll.
Erfüllt eine VDP diese Anforderungen, kommen die so definierten Betriebs- und Kommunikationsrichtlinien letztlich allen Beteiligten zugute. Wichtig ist zudem, dass eine VDP – etwa über eine Suchmaschine – leicht aufzufinden und auf der Website der Organisation zugänglich ist. Das ist am einfachsten zu erreichen, wenn man eine security.txt-Datei [4,5] oder eine eindeutige URL wie www.example.com/vulnerability-disclosure-policy nutzt. Um Organisationen zu helfen, ihre VDP noch zugänglicher zu machen, hat YesWeHack zudem den VDPFinder entwickelt, ein einfach zu bedienendes und kostenloses Browser-Plugin für Chrome und Firefox [6].
Zunehmende Verbreitung
Die Vorteile einer VDP haben bereits zahlreiche namhafte Organisationen überzeugt. Von den DAX30-Unternehmen haben etwa BASF, die Deutsche Telekom und auch SAP bereits eine VDP veröffentlicht. Aktuelle Zahlen zeigen ein exponentielles Wachstum. Auch die Politik hat den Wert der Richtlinien bereits erkannt, da diese dazu beitragen, Rechtssicherheit für alle beteiligten Parteien zu schaffen. Tatsächlich lässt sich eine globale und dauerhafte Verringerung von Cyber-Risiken nur durch eine intensive Zusammenarbeit von sowohl öffentlichen als auch privaten Akteuren erreichen. Ein international abgestimmtes Modell ist unerlässlich, um jede unkoordinierte Veröffentlichung von Schwachstellen zu vermeiden. Verschiedene Regierungsinstitutionen sehen VDPs mittlerweile als wichtiges Instrument zur Bekämpfung von Cyberkriminalität an. Deshalb haben sie damit begonnen, VDP-Anleitungen, Standards zur Implementierung und Vorlagen für die Verwaltung zu veröffentlichen (siehe Literatur-Kasten).
Oft werden VDPs auch als wirksame Maßnahme zur Einhaltung der EU Datenschutzgrundverordnung (DSGVO) gesehen: Kürzlich hat etwa das Center for European Policy Studies (CEPS) erklärt, dass die Veröffentlichung einer VDP das Risiko von Geldbußen aufgrund möglicher Verstöße gegen personenbezogene Daten verringern könne. Daraus lässt sich umgekehrt schließen, dass im Falle einer Verletzung der DSGVO das Fehlen eines VDP als „nicht gemäß dem Stand der Technik“ angesehen werden oder sich zumindest negativ auf die Höhe des Strafmaßes auswirken könnte.
Einführung einer VDP
Wenn ein Unternehmen die Entscheidung getroffen hat, eine VDP einzuführen, gibt es einige Dinge zu beachten, damit das Projekt zum Erfolg wird – allem voran ist es wichtig, alle relevanten Stakeholder von Anfang an einzubeziehen.
Am besten funktioniert eine VDP dann, wenn sie die Basis für alle zugehörigen Prozesse bildet: Hierunter fallen das Melden einer Schwachstelle, ihre Offenlegung und Beseitigung sowie die generelle Kommunikation und eine anschließende Erfolgsmessung. Dementsprechend ist hier nicht nur die IT-Abteilung involviert – ein Mitspracherecht in der Planung sollten auch Technik, Rechtsabteilung und Produktentwicklung haben. In manchen Fällen haben auch solche Schwachstellen, die eigentlich weniger schwerwiegend sind, Einfluss auf verschiedenste, zuvor nicht bedachte Personen und Abteilungen. Deshalb sollten möglichst viele einbezogen oder zumindest informiert sein – und zwar sowohl intern als auch extern.
Zudem gilt es zu bedenken, dass eine VDP selbstverständlich nicht in einem luftleeren Raum existiert. Sie muss vielmehr eine zentrale Komponente innerhalb eines umfassenden Sicherheitsansatzes sein. Immer mehr Regulierungs- und Regierungsbehörden erachten VDPs als eine notwendige Sicherheitsmaßnahme und fordern sie teilweise auch gesetzlich ein. All das zeigt, dass es einiger Anstrengungen bedarf und durchaus keine triviale Aufgabe ist, eine VDP zu implementieren und stets auf dem aktuellen Stand zu halten. Außerdem muss sie mit den jeweils unterschiedlichen Sicherheitsanforderungen des eigenen Unternehmens in Einklang gebracht werden.
Wer hier den Überblick zu verlieren droht, kann Best Practices von Unternehmen, die bereits erfolgreich eine VDP eingeführt und veröffentlicht haben, als Orientierungshilfe nutzen. Darüber hinaus stehen zahlreiche Standards und Leitlinien zur Verfügung (siehe etwa [7,9,10,12,13]) – viele davon lassen sich für ganz unterschiedliche Anforderungsprofile individuell anpassen.
Schließlich ist für die Umsetzung einer VDP auch der Rückhalt im eigenen Unternehmen von zentraler Bedeutung, selbst wenn es unter Umständen nicht immer ganz einfach ist, sich diesen zu sichern. Der Vorteil eines möglichst ganzheitlichen und umfassenden Ansatzes liegt vor allem in der höheren Transparenz: Das betrifft einerseits die Projektkommunikation und andererseits die Nachvollziehbarkeit der Prozesse. Durch eine solche Vorgehensweise lassen sich die Risiken für unliebsame Überraschungen deutlich senken und negative Konsequenzen weitgehend verhindern – etwa dass nötige Prozesse nicht abgeschlossen werden.
Grundsätzlich bleibt festzuhalten, dass der entscheidende Faktor für eine erfolgreiche VDP-Einführung die zugrunde liegenden Prozesse sind. Unternehmen, die hier zu Beginn etwas mehr Zeit investieren, haben im Nachgang meist mit deutlich weniger Störfaktoren zu kämpfen. Überstürzt eingeführte Lösungen können sogar zusätzliche Risiken heraufbeschwören anstatt diese zu senken und sind deshalb keinesfalls zu empfehlen. Im günstigsten Falle senkt eine VDP die Risiken, die durch eventuelle Schwachstellen entstehen können, ebenso wie den Verwaltungsaufwand und wirkt sich somit positiv auf die Geschäftsprozesse insgesamt aus.
Sonderform Bug-Bounty
Eine Vulnerability-Disclosure-Policy kann auch über ein Bug-Bounty-Programm – auch bekannt als „Crowdsourced Security“ – zustande kommen. Darunter versteht man ein öffentlich oder privat ausgeschriebenes Programm, bei dem Hacker mit guten Absichten aktiv eingeladen werden, Sicherheitsschwachstellen oder Bugs zu finden und dem Unternehmen offenzulegen. Was genau zu testen ist und welche Belohnungen (finanziell und/oder via „Hall of Fame“) die Hacker erwarten können, wird bei der Ausschreibung des Programms mitgeteilt.
Für ein Bug-Bounty-Programm reicht man auf einer einschlägigen Plattform entweder einen digitalen Dienst (z. B. eine Website, API oder mobile Anwendung) ein oder es geht um ein bestimmtes Produkt (etwa ein vernetztes Auto), das Hacker anschließend auf mögliche Schwachstellen untersuchen. Bei öffentlichen Bug-Bounty-Programmen kann jeder (ethisch handelnde) Hacker teilnehmen, der die jeweilige Plattform abonniert hat. Ist das Programm „privat“, nimmt nur eine vorselektierte Gruppe von Hackern teil; dafür erhalten diese Hacker dann eine von vornherein festgelegte finanzielle Honorierung, die „Bounties“. Die Höhe der Belohnung ergibt sich aus der Schwere der entdeckten Schwachstelle(n). In diesem Fall übernimmt also das Bug-Bounty-Programm die Funktion einer VDP, indem es seinerseits Richtlinien für das Auffinden und die Übermittlung von Schwachstellen festschreibt.
Fazit
Sowohl durch VDPs als auch durch Bug-BountyProgramme entstehen neue, zukunftsweisende Standards für die Cybersicherheit, die eine kollektive Verantwortung für die Reduzierung digitaler Risiken zum Ausdruck bringen. Sie sind beispielhaft für den Übergang von einer zentralen Kontrolle der Informationssicherheit hin zu einem dezentralen Ansatz, der die Gemeinschaft der ethisch handelnden Hacker mit einschließt.
Darüber hinaus ist die Einführung einer Vulnerability-Disclosure-Policy ein wichtiger Schritt, um die Rechtsunsicherheit zu beseitigen, der ethische Hacker ausgesetzt sind, wenn sie versuchen, ein Sicherheitsproblem zu melden. Indem wir sowohl eine bessere Sichtbarkeit erreichen als auch auf von Hackern aufgedeckte Schwachstellen reagieren, verbessern wir die Sicherheit unserer digitalen Dienste und tragen dazu bei, die Risiken von Cyberangriffen zu verringern.
Rayna Stamboliyska ist Vizepräsidentin Governance & Public Affairs bei YesWeHack.
Literatur
[1] European Commission, Questions and Answers – EU Cybersecurity, Juni 2019, https://ec.europa.eu/commission/presscorner/detail/en/QANDA_19_3369
[2] Nationaal Cyber Security Centre (NCSC), Coordinated Vulnerability Disclosure: the Guideline, Oktober 2018,
https://english.ncsc.nl/publications/publications/2019/juni/01/coordinated-vulnerability-disclosure-the-guideline
[3] U. S. Department of Justice Cybersecurity Unit, A Framework for a Vulnerability Disclosure Program for Online Systems, Version 1.0, Juli 2017, www.justice.gov/criminal-ccips/page/file/983996/download
[4] Edwin Foudil (EdOverflow), Yakov Shafranovich (Nightwatch Cyber), security.txt, A proposed standard which allows websites to define security policies, https://securitytxt.org
[5] E. Foudil, Y. Shafranovich, A File Format to Aid in Security Vulnerability Disclosure, IETF Network Working Group Internet-Draft, Februar 2020, https://tools.ietf.org/html/draft-foudil-securitytxt-09
[6] Yes We Hack, Showcasing your vulnerability disclosure policy to the world, Blogbeitrag, Januar 2020, https://blog.
yeswehack.com/2020/01/23/showcasing-your-vulnerability-disclosure-policy-to-the-world/
[7] European Union Agency for Cybersecurity (ENISA), Good Practice Guide on Vulnerability Disclosure, From challenges to recommendations, Januar 2016, www.enisa. europa.eu/publications/vulnerability-disclosure
[8] European Union Agency for Cybersecurity (ENISA), Economics of Vulnerability Disclosure, Dezember 2018, www.enisa.europa.eu/publications/economics-of-vulnerability-disclosure
[9] International Organization for Standardization (ISO), Information technology — Security techniques — Vulnerability disclosure, ISO/IEC 29147:2018, Oktober 2018, www.iso.org/standard/72311.html
[10] International Organization for Standardization (ISO), Information technology — Security techniques — Vulnerability handling processes, ISO/IEC 30111:2019, Oktober 2019, https://www.iso.org/standard/69725.html
[11] Marietje Schaake, Lorenzo Pupillo, Afonso Ferreira, Gianluca Varisco, Software Vulnerability Disclosure in Europe – Technology, Policies and Legal Challenges, Centre for European Policy Studies (CEPS) Task Force Report, Juni 2018, www.ceps.eu/ceps-publications/softwarevulnerability-disclosure-europe-technology-policies-andlegal-challenges/
[12] IoT Security Foundation, Vulnerability Disclosure, Best Practice Guidelines, Release 1.1, Dezember 2017, www.iotsecurityfoundation.org/wp-content/uploads/2017/12/Vulnerability-Disclosure_WG4_2017.pdf
[13] Open Web Application Security Project (OWASP), Vulnerability Disclosure Cheat Sheet, https://cheatsheetseries.owasp.org/cheatsheets/Vulnerability_Disclosure_Cheat_Sheet.html