Sicherheitslücken bei Unternehmen: Don't shoot the Messenger

Eigentlich ist die zentrale Aufgabe relativ einfach erklärt: "Seid freundlich und offen gegenüber den Meldenden, schließt die Lücken und kommt gar nicht erst auf die Idee, uns zu verklagen", sagt Wittmann. Doch auch im Vorfeld einer Meldung könnten Unternehmen schon viel machen. Dazu gehöre eine Kontaktadresse zum Melden von Sicherheitslücken. Denn oft ist es für die Sicherheitsforscher gar nicht so einfach, einen Kontakt zu finden.

Stellenmarkt
  1. Projektleiter (m/w/d)
    Chemnitzer Verlag und Druck GmbH & Co. KG, Chemnitz
  2. Softwareentwickler/in für SAP ABAP (m/w/d)
    Compiricus AG, Düsseldorf
Detailsuche

Diese E-Mail-Adresse sollte zudem regelmäßig kontinuierlich betreut werden und nicht im Urlaubsfall ausfallen. Auch ein regelmäßiger Blick in den Spam-Ordner sei wichtig - denn Hacker haben manchmal eigene Mailserver. Das klinge zwar alles trivial, meint Karl. Aber sie würden es sehr häufig erleben, dass man sich erst einmal Kontaktadressen zusammensuchen müsse.

Habe das Unternehmen die E-Mail erhalten und die Lücke nachvollzogen, solle es sich umgehend bei den Sicherheitsforschern melden und diese bestätigen. Sollte die Lücke nicht nachvollzogen werden können, müsse nachgefragt werden, meint Karl. Auch anschließend sollte alles regelmäßig sowie der aktuelle Stand klar kommuniziert werden.

"Ihr wollt ja, dass die Sicherheitsforscher*innen ehrlich und vollständig transparent mit euch sind - also seid es auch. Packt alle Karten auf den Tisch und haltet nichts zurück", betont Karl. Das ist auch deshalb wichtig, weil die Sicherheitsforscher oft selbst etwas über die Lücke schreiben wollen.

Sicherheitsforscher helfen euch, also behandelt sie gut

Golem Akademie
  1. Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
    03.–04. Februar 2022, Virtuell
  2. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    24.–25. Januar 2022, virtuell
Weitere IT-Trainings

Und es solle niemals vergessen werden: "Da helfen euch Leute in ihrer Freizeit, eure Software sicherer zu machen", sagt Karl "Ja, es ist für euch keine schöne Situation, wenn da ein großes Sicherheitsproblem in eurer Software ist." Aber daran seien nicht die Sicherheitsforscher schuld, die hätten die Lücke nur gefunden und nicht eingebaut.

"Also überlegt mal, wie beschissen sich das für eure Gegenseite anfühlt. Da hat sich jemand in ihrer Freizeit hingesetzt, eure Software angeschaut und ein Problem gefunden. Dann hat die Person euch sogar Bescheid gesagt - und von euch kommt nur Gepöbel, Drohungen oder gar eine Strafanzeige." Damit würden ehrliche Sicherheitsforscher verschreckt. "Denn die Lücken sind ja nicht weg, nur weil niemand sie euch meldet. Stattdessen werden die Lücken dann gar nicht gemeldet, als Full Disclosure direkt dem ganzen Internet bekannt gemacht oder an Kriminelle verkauft."

"Es kann sein, dass Medien über den Sicherheitsvorfall bei euch berichten wollen", meint Wittmann. Diese sollten nicht angelogen oder die Sicherheitsforscher diskreditiert werden. Das gehe letztlich immer nach hinten los. Es gehöre auch zum guten Ton, eine Sicherheitslücke nicht einfach als Pressemitteilung unabgesprochen zu veröffentlichen.

Auch sollte sich bei den Sicherheitsforschern nicht ohne Absprache öffentlich bedankt oder sie anderweitig namentlich genannt werden - denn nicht alle möchten das. Beispielsweise könne das Stress auf der Arbeit bedeuten oder politischen Überzeugungen widersprechen, meint Karl. Neumann möchte die Unternehmen zudem ermutigen, auch die Nutzer über den Vorfall zu informieren - selbst wenn nahezu ausgeschlossen werden könne, dass wirklich Daten abgeflossen sind. Das seien aber alles nur die absoluten Basics, betonen die Sicherheitsforscher.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Melden, ohne eine Anzeige zu riskieren
  1.  
  2. 1
  3. 2
  4. 3


Aktuell auf der Startseite von Golem.de
Klage
Paypal friert Konten ein und behält Geld nach 180 Tagen

In einer Sammelklage wird Paypal vorgeworfen, Konten ohne Nennung von Gründen einzufrieren und das Geld nach 180 Tagen zu behalten.

Klage: Paypal friert Konten ein und behält Geld nach 180 Tagen
Artikel
  1. Krypto-Verbot: Panikverkäufe von Krypto-Mininggerät im Kosovo
    Krypto-Verbot
    Panikverkäufe von Krypto-Mininggerät im Kosovo

    Schürfen von Kryptowährungen ist im Kosovo seit kurzem verboten. Mineure versuchen, ihr Equipment oft zu Schleuderpreisen loszuwerden.

  2. Malware: Microsoft warnt vor ungewöhnlicher Schadsoftware in Ukraine
    Malware
    Microsoft warnt vor ungewöhnlicher Schadsoftware in Ukraine

    Die Schadsoftware soll sich als Ransomware tarnen.

  3. Großunternehmen: Lindner will Mindeststeuer zum 1. Januar 2023 umsetzen
    Großunternehmen
    Lindner will Mindeststeuer zum 1. Januar 2023 umsetzen

    Bundesfinanzminister Christian Lindner will die Mindeststeuer für Großunternehmen in Deutschland schnell einführen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u.a. WD Blue 3D 1TB 79€, be quiet! Straight Power 11 850W 119€ u. PowerColor RX 6600 Hellhound 529€) • Alternate: Weekend-Deals • HyperX Cloud II Wireless 107,19€ • Cooler Master MH752 54,90€ • Gainward RTX 3080 12GB 1.599€ • Saturn-Hits • 3 für 2: Marvel & Star Wars [Werbung]
    •  /