Responsible Disclosure: Deine Software, die Sicherheitslücken und ich

rC3

Wie meldet man Sicherheitslücken eigentlich richtig? Und wie sollten Unternehmen damit umgehen? Zerforschung und CCC klären auf.

Ein Bericht von veröffentlicht am
Manchmal ist es einfacher, Sicherheitslücken zu finden, als sie zu melden...
Manchmal ist es einfacher, Sicherheitslücken zu finden, als sie zu melden... (Bild: Mohamed Hassan/Pixabay)

Immer wieder finden Hacker und Sicherheitsforscher Datenlecks und Sicherheitslücken bei Softwareherstellern - doch was dann? In den vergangenen Jahren gab es einige unschöne Situationen im Nachgang von entdeckten oder gemeldeten Sicherheitslücken. Lilith Wittmann und Karl vom Kollektiv Zerforschung sowie Linus Neumann, Sprecher des Chaos Computer Clubs (CCC) erklärten auf dem Hackerkongress rC3, was beim Melden von Sicherheitslücken schiefgehen kann und wie man es richtig macht.

Inhalt:
  1. Responsible Disclosure: Deine Software, die Sicherheitslücken und ich
  2. Melden, ohne eine Anzeige zu riskieren
  3. Sicherheitslücken bei Unternehmen: Don't shoot the Messenger

Nach mindestens zwei Anzeigen wegen gemeldeter Sicherheitslücken in diesem Jahr kritisieren die Sicherheitsforscher auch die rechtlichen Rahmenbedingungen und geben Unternehmen Tipps, wie sie richtig mit Sicherheitsforschern und gemeldeten Sicherheitslücken umgehen. Denn ein Outcome à la "Aufmachen, Polizei" hilft niemandem weiter.

Nach dem Entdecken von Sicherheitslücken sei es wichtig, verantwortungsvoll mit diesen umzugehen, meint Karl. Denn wer eine Sicherheitslücke einfach umgehend und vollständig veröffentliche (Full Disclosure), könne sich selbst in Schwierigkeiten bringen, vor allem aber auch die Menschen, deren Daten dadurch öffentlich werden.

Nicht umsonst heißt es in der Hackerethik: Öffentliche Daten nützen, private Daten schützen. Deshalb solle zuerst der Hersteller über die Lücke informiert werden und Informationen zu der Lücke erst nach deren Beseitigung veröffentlicht werden - das sogenannte Responsible-Disclosure-Verfahren. So weit, so einfach - komplizierter wird es beim konkreten Vorgehen.

Das Adrenalin abklingen lassen

Stellenmarkt
  1. Koordinator IT Security (m/w/d)
    mobilcom-debitel GmbH, Büdelsdorf
  2. Projektmanager*in (w/m/d) Datenmanagement für On-Demand-Angebote
    Berliner Verkehrsbetriebe (BVG), Berlin
Detailsuche

Wenn man eine Sicherheitslücke entdeckt hat, sollte man erst einmal Ruhe bewahren, rät Wittmann. Das sei jedoch gar nicht so einfach - immerhin "hat man höchstwahrscheinlich gerade Daten anderer Leute gesehen, die man nicht sehen sollte. Da geht der Puls schonmal hoch." Deshalb erst noch einmal nachschauen, ob man wirklich Daten, die man nicht sehen sollte, gesehen hat.

Dann gehe es an die Einschätzung der Sicherheitslücke: Welche Daten können gelesen werden? Können auch Daten geschrieben oder gelöscht werden? Wichtig sei es, mit Testkonten oder mit Konten von Freunden und deren Erlaubnis zu testen, denn die Hackerethik gebiete es auch, nicht in den Daten anderer Leute rumzumüllen, betont Wittmann.

Sind viele Menschen betroffen, sei man schon bei der Alarmstufe dunkelrot, meint Karl. Aber auch wenn nur wenige Menschen, dafür aber besonders sensible Daten betroffen sind, sei man schnell bei Alarmstufe dunkel-dunkel-dunkelrot.

Ein Sicherheitslücken-Report ist keine Bachelorarbeit

Dann müsse die Lücke möglichst schnell dokumentiert werden - und das für mehrere Zielgruppen gleichzeitig: "So ein Dokument geht nämlich üblicherweise durch mehrere Hände: Zuerst kommt es zu Menschen, die nur die ersten Sätze lesen, die aber dafür verantwortlich sind, dass das Dokument bei denjenigen ankommt, die auch den Rest eures Geschreibsels verstehen können. Deswegen sollten die ersten Sätze für alle Menschen verständlich sein und die wichtigsten Fakten müssen rein", erklärt Wittmann. Es sei keine Bachelorarbeit und kein Roman.

Wenn das Dokument auch an offizielle Stellen wie Datenschutzbehörden geht, ist es empfehlenswert, auch den Dienst oder das Produkt zu beschreiben, um das es geht. Ein guter Anfang sei beispielsweise: "In der Mitglieds-App der Chaos Cat Community können durch eine Sicherheitslücke die Daten aller Mitglieder abgerufen werden. Dazu gehören: Name, Adresse, Bezahlstatus und Impfstatus." Den Rest des Dokuments schreibe man für eine technisch halbwegs fitte Zielgruppe, die beispielsweise wisse, was eine API ist.

Dort beschreibt man die Sicherheitslücke als erstes genau, aber kurz. Anschließend nennt man, ebenfalls kurz, die Auswirkungen. "Das ist zum einen wichtig, damit die Gegenseite schnell verstehen kann, wie schlimm die Lücke ist. Zum anderen hilft es den Aufsichtsbehörden einzuschätzen, ob sie gegen das Unternehmen vorgehen müssen", sagt Karl. Als drittes geht es darum, wie man die Lücke nachvollziehen kann, also beispielsweise die notwendigen Schritte, um eine Sicherheitslücke auszunutzen. Das kann auch ein kurzes Skript sein.

In einem vierten Punkt kann man Tipps geben, wie die Lücke geschlossen werden kann. "Aber das muss auch nicht sein. Das ist schließlich Aufgabe der Unternehmen und nicht eure", meint Wittmann. Auf keinen Fall sollten Wissen zurückgehalten oder Forderungen gestellt werden, denn das kann einem später negativ ausgelegt werden. Insbesondere sollte weder Geld verlangt oder das Angebot unterbreitet werden, beim Schließen der Sicherheitslücke zu helfen. Auch wenn man zu lange mit dem Melden warte, könne einem das negativ ausgelegt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Melden, ohne eine Anzeige zu riskieren 
  1. 1
  2. 2
  3. 3
  4.  


Aktuell auf der Startseite von Golem.de
Reddit
IT-Arbeiter automatisiert seinen Job angeblich vollständig

Ein anonymer Entwickler will unbemerkt seinen Job vollständig automatisiert haben. Dem Arbeitgeber sei dies seit einem Jahr nicht aufgefallen.

Reddit: IT-Arbeiter automatisiert seinen Job angeblich vollständig
Artikel
  1. Deutsche Telekom: iPads für mehr als 400.000 Schüler in Rheinland-Pfalz
    Deutsche Telekom
    iPads für mehr als 400.000 Schüler in Rheinland-Pfalz

    Rheinland-Pfalz beschafft iPads für 1.660 Schulen. Die Ausschreibung hat die Deutsche Telekom gewonnen. Auch Notebooks gibt es.

  2. Bundesservice Telekommunikation: Ist eine scheinexistente Behörde für Wikipedia relevant?
    Bundesservice Telekommunikation  
    Ist eine scheinexistente Behörde für Wikipedia relevant?

    Die IT-Sicherheitsexpertin Lilith Wittmann hat eine dubiose Bundesbehörde ohne Budget entdeckt. Reicht das für einen Wikipedia-Artikel?

  3. Elektroauto: VW e-Up ab Mitte Februar wieder bestellbar
    Elektroauto
    VW e-Up ab Mitte Februar wieder bestellbar

    Der e-Up gehörte 2021 zu den meistgekauften Elektroautos. Nun will VW den Kleinwagen wieder verfügbar machen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u.a. GTX 1660 6GB 499€) • G.Skill Bosch Professional zu Bestpreisen • WSV bei MediaMarkt • Asus Vivobook Flip 14" 8GB 512GB SSD 567€ • Philips OLED 65" Ambilight 1.699€ • RX 6900 16GB 1.499€ • Samsung QLED-TVs günstiger • Asus Gaming-Notebook 17“ R9 RTX3060 1.599€ [Werbung]
    •  /