Sicherheitslücken bei Unternehmen: Don't shoot the Messenger

Eigentlich ist die zentrale Aufgabe relativ einfach erklärt: "Seid freundlich und offen gegenüber den Meldenden, schließt die Lücken und kommt gar nicht erst auf die Idee, uns zu verklagen", sagt Wittmann. Doch auch im Vorfeld einer Meldung könnten Unternehmen schon viel machen. Dazu gehöre eine Kontaktadresse zum Melden von Sicherheitslücken. Denn oft ist es für die Sicherheitsforscher gar nicht so einfach, einen Kontakt zu finden.

Diese E-Mail-Adresse sollte zudem regelmäßig kontinuierlich betreut werden und nicht im Urlaubsfall ausfallen. Auch ein regelmäßiger Blick in den Spam-Ordner sei wichtig - denn Hacker haben manchmal eigene Mailserver. Das klinge zwar alles trivial, meint Karl. Aber sie würden es sehr häufig erleben, dass man sich erst einmal Kontaktadressen zusammensuchen müsse.

Habe das Unternehmen die E-Mail erhalten und die Lücke nachvollzogen, solle es sich umgehend bei den Sicherheitsforschern melden und diese bestätigen. Sollte die Lücke nicht nachvollzogen werden können, müsse nachgefragt werden, meint Karl. Auch anschließend sollte alles regelmäßig sowie der aktuelle Stand klar kommuniziert werden.

"Ihr wollt ja, dass die Sicherheitsforscher*innen ehrlich und vollständig transparent mit euch sind - also seid es auch. Packt alle Karten auf den Tisch und haltet nichts zurück", betont Karl. Das ist auch deshalb wichtig, weil die Sicherheitsforscher oft selbst etwas über die Lücke schreiben wollen.

Sicherheitsforscher helfen euch, also behandelt sie gut

Und es solle niemals vergessen werden: "Da helfen euch Leute in ihrer Freizeit, eure Software sicherer zu machen", sagt Karl "Ja, es ist für euch keine schöne Situation, wenn da ein großes Sicherheitsproblem in eurer Software ist." Aber daran seien nicht die Sicherheitsforscher schuld, die hätten die Lücke nur gefunden und nicht eingebaut.

"Also überlegt mal, wie beschissen sich das für eure Gegenseite anfühlt. Da hat sich jemand in ihrer Freizeit hingesetzt, eure Software angeschaut und ein Problem gefunden. Dann hat die Person euch sogar Bescheid gesagt - und von euch kommt nur Gepöbel, Drohungen oder gar eine Strafanzeige." Damit würden ehrliche Sicherheitsforscher verschreckt. "Denn die Lücken sind ja nicht weg, nur weil niemand sie euch meldet. Stattdessen werden die Lücken dann gar nicht gemeldet, als Full Disclosure direkt dem ganzen Internet bekannt gemacht oder an Kriminelle verkauft."

"Es kann sein, dass Medien über den Sicherheitsvorfall bei euch berichten wollen", meint Wittmann. Diese sollten nicht angelogen oder die Sicherheitsforscher diskreditiert werden. Das gehe letztlich immer nach hinten los. Es gehöre auch zum guten Ton, eine Sicherheitslücke nicht einfach als Pressemitteilung unabgesprochen zu veröffentlichen.

Auch sollte sich bei den Sicherheitsforschern nicht ohne Absprache öffentlich bedankt oder sie anderweitig namentlich genannt werden - denn nicht alle möchten das. Beispielsweise könne das Stress auf der Arbeit bedeuten oder politischen Überzeugungen widersprechen, meint Karl. Neumann möchte die Unternehmen zudem ermutigen, auch die Nutzer über den Vorfall zu informieren - selbst wenn nahezu ausgeschlossen werden könne, dass wirklich Daten abgeflossen sind. Das seien aber alles nur die absoluten Basics, betonen die Sicherheitsforscher.