Sicherheitslücken bei Unternehmen: Don't shoot the Messenger

Eigentlich ist die zentrale Aufgabe relativ einfach erklärt: "Seid freundlich und offen gegenüber den Meldenden, schließt die Lücken und kommt gar nicht erst auf die Idee, uns zu verklagen", sagt Wittmann. Doch auch im Vorfeld einer Meldung könnten Unternehmen schon viel machen. Dazu gehöre eine Kontaktadresse zum Melden von Sicherheitslücken. Denn oft ist es für die Sicherheitsforscher gar nicht so einfach, einen Kontakt zu finden.

Diese E-Mail-Adresse sollte zudem regelmäßig kontinuierlich betreut werden und nicht im Urlaubsfall ausfallen. Auch ein regelmäßiger Blick in den Spam-Ordner sei wichtig - denn Hacker haben manchmal eigene Mailserver. Das klinge zwar alles trivial, meint Karl. Aber sie würden es sehr häufig erleben, dass man sich erst einmal Kontaktadressen zusammensuchen müsse.

Habe das Unternehmen die E-Mail erhalten und die Lücke nachvollzogen, solle es sich umgehend bei den Sicherheitsforschern melden und diese bestätigen. Sollte die Lücke nicht nachvollzogen werden können, müsse nachgefragt werden, meint Karl. Auch anschließend sollte alles regelmäßig sowie der aktuelle Stand klar kommuniziert werden.

"Ihr wollt ja, dass die Sicherheitsforscher*innen ehrlich und vollständig transparent mit euch sind - also seid es auch. Packt alle Karten auf den Tisch und haltet nichts zurück", betont Karl. Das ist auch deshalb wichtig, weil die Sicherheitsforscher oft selbst etwas über die Lücke schreiben wollen.

Sicherheitsforscher helfen euch, also behandelt sie gut

Und es solle niemals vergessen werden: "Da helfen euch Leute in ihrer Freizeit, eure Software sicherer zu machen", sagt Karl "Ja, es ist für euch keine schöne Situation, wenn da ein großes Sicherheitsproblem in eurer Software ist." Aber daran seien nicht die Sicherheitsforscher schuld, die hätten die Lücke nur gefunden und nicht eingebaut.

"Also überlegt mal, wie beschissen sich das für eure Gegenseite anfühlt. Da hat sich jemand in ihrer Freizeit hingesetzt, eure Software angeschaut und ein Problem gefunden. Dann hat die Person euch sogar Bescheid gesagt - und von euch kommt nur Gepöbel, Drohungen oder gar eine Strafanzeige." Damit würden ehrliche Sicherheitsforscher verschreckt. "Denn die Lücken sind ja nicht weg, nur weil niemand sie euch meldet. Stattdessen werden die Lücken dann gar nicht gemeldet, als Full Disclosure direkt dem ganzen Internet bekannt gemacht oder an Kriminelle verkauft."

"Es kann sein, dass Medien über den Sicherheitsvorfall bei euch berichten wollen", meint Wittmann. Diese sollten nicht angelogen oder die Sicherheitsforscher diskreditiert werden. Das gehe letztlich immer nach hinten los. Es gehöre auch zum guten Ton, eine Sicherheitslücke nicht einfach als Pressemitteilung unabgesprochen zu veröffentlichen.

Auch sollte sich bei den Sicherheitsforschern nicht ohne Absprache öffentlich bedankt oder sie anderweitig namentlich genannt werden - denn nicht alle möchten das. Beispielsweise könne das Stress auf der Arbeit bedeuten oder politischen Überzeugungen widersprechen, meint Karl. Neumann möchte die Unternehmen zudem ermutigen, auch die Nutzer über den Vorfall zu informieren - selbst wenn nahezu ausgeschlossen werden könne, dass wirklich Daten abgeflossen sind. Das seien aber alles nur die absoluten Basics, betonen die Sicherheitsforscher.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Melden, ohne eine Anzeige zu riskieren
  1.  
  2. 1
  3. 2
  4. 3


Aktuell auf der Startseite von Golem.de
Der Herr der Ringe
Lego bringt Bruchtal aus 6.100 Teilen und mit 15 Figuren

Die gesamte Gemeinschaft des Ringes versammelt sich in den Hallen von Bruchtal, das als Lego-Diorama Herr-der-Ringe-Fans erfreuen kann.

Der Herr der Ringe: Lego bringt Bruchtal aus 6.100 Teilen und mit 15 Figuren
Artikel
  1. Emergency Alert System: Fox muss Strafe wegen Notfallalarm-Werbung zahlen
    Emergency Alert System
    Fox muss Strafe wegen Notfallalarm-Werbung zahlen

    Eine Fernsehwerbung mit einem speziellen Signal beginnen, das normalerweise einen Notfallalarm ankündigt? Die FCC fand die Idee von Fox nicht gut.

  2. Stress reduzieren: Runter mit der Hasskappe!
    Stress reduzieren
    Runter mit der Hasskappe!

    Viele ITler stehen unter enormen Stress und ruinieren sich damit die Gesundheit und den Spaß an der Arbeit - und anderen den Tag. Psychologen empfehlen als Lösung: mit Affirmationen die eigenen Gedanken umprogrammieren.
    Ein Bericht von Marc Favre

  3. Microsoft: Bing bekommt ChatGPT-Integration und kann getestet werden
    Microsoft
    Bing bekommt ChatGPT-Integration und kann getestet werden

    Microsoft hat KI-basierte Updates für die Bing-Suchmaschine und den Edge-Browser angekündigt. Die Beta ist schon verfügbar.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Powercolor RX 7900 XTX 1.119€ • WSV-Finale bei MediaMarkt • Samsung 980 Pro 2TB (PS5-komp.) 174,99€ • MSI RTX 4080 1.349€ • Samsung 55" 4K QLED Curved Gaming-Monitor -25% • Asus RX 7900 XT 939,90€ • DAMN-Deals: AMD CPUs zu Tiefstpreisen • PCGH Cyber Week nur bis 9.2. [Werbung]
    •  /