Responsible Disclosure: Deine Software, die Sicherheitslücken und ich

rC3

Wie meldet man Sicherheitslücken eigentlich richtig? Und wie sollten Unternehmen damit umgehen? Zerforschung und CCC klären auf.

Ein Bericht von veröffentlicht am
Manchmal ist es einfacher, Sicherheitslücken zu finden, als sie zu melden...
Manchmal ist es einfacher, Sicherheitslücken zu finden, als sie zu melden... (Bild: Mohamed Hassan/Pixabay)

Immer wieder finden Hacker und Sicherheitsforscher Datenlecks und Sicherheitslücken bei Softwareherstellern - doch was dann? In den vergangenen Jahren gab es einige unschöne Situationen im Nachgang von entdeckten oder gemeldeten Sicherheitslücken. Lilith Wittmann und Karl vom Kollektiv Zerforschung sowie Linus Neumann, Sprecher des Chaos Computer Clubs (CCC) erklärten auf dem Hackerkongress rC3, was beim Melden von Sicherheitslücken schiefgehen kann und wie man es richtig macht.

Inhalt:
  1. Responsible Disclosure: Deine Software, die Sicherheitslücken und ich
  2. Melden, ohne eine Anzeige zu riskieren
  3. Sicherheitslücken bei Unternehmen: Don't shoot the Messenger

Nach mindestens zwei Anzeigen wegen gemeldeter Sicherheitslücken in diesem Jahr kritisieren die Sicherheitsforscher auch die rechtlichen Rahmenbedingungen und geben Unternehmen Tipps, wie sie richtig mit Sicherheitsforschern und gemeldeten Sicherheitslücken umgehen. Denn ein Outcome à la "Aufmachen, Polizei" hilft niemandem weiter.

Nach dem Entdecken von Sicherheitslücken sei es wichtig, verantwortungsvoll mit diesen umzugehen, meint Karl. Denn wer eine Sicherheitslücke einfach umgehend und vollständig veröffentliche (Full Disclosure), könne sich selbst in Schwierigkeiten bringen, vor allem aber auch die Menschen, deren Daten dadurch öffentlich werden.

Nicht umsonst heißt es in der Hackerethik: Öffentliche Daten nützen, private Daten schützen. Deshalb solle zuerst der Hersteller über die Lücke informiert werden und Informationen zu der Lücke erst nach deren Beseitigung veröffentlicht werden - das sogenannte Responsible-Disclosure-Verfahren. So weit, so einfach - komplizierter wird es beim konkreten Vorgehen.

Das Adrenalin abklingen lassen

Stellenmarkt
  1. Assistent (m/w/d) des Vorstands
    Württembergische Versicherung AG, Stuttgart
  2. COBOL Software Entwickler (m/w/d)
    W. Pelz GmbH & Co. KG, Wahlstedt
Detailsuche

Wenn man eine Sicherheitslücke entdeckt hat, sollte man erst einmal Ruhe bewahren, rät Wittmann. Das sei jedoch gar nicht so einfach - immerhin "hat man höchstwahrscheinlich gerade Daten anderer Leute gesehen, die man nicht sehen sollte. Da geht der Puls schonmal hoch." Deshalb erst noch einmal nachschauen, ob man wirklich Daten, die man nicht sehen sollte, gesehen hat.

Dann gehe es an die Einschätzung der Sicherheitslücke: Welche Daten können gelesen werden? Können auch Daten geschrieben oder gelöscht werden? Wichtig sei es, mit Testkonten oder mit Konten von Freunden und deren Erlaubnis zu testen, denn die Hackerethik gebiete es auch, nicht in den Daten anderer Leute rumzumüllen, betont Wittmann.

Sind viele Menschen betroffen, sei man schon bei der Alarmstufe dunkelrot, meint Karl. Aber auch wenn nur wenige Menschen, dafür aber besonders sensible Daten betroffen sind, sei man schnell bei Alarmstufe dunkel-dunkel-dunkelrot.

Ein Sicherheitslücken-Report ist keine Bachelorarbeit

Dann müsse die Lücke möglichst schnell dokumentiert werden - und das für mehrere Zielgruppen gleichzeitig: "So ein Dokument geht nämlich üblicherweise durch mehrere Hände: Zuerst kommt es zu Menschen, die nur die ersten Sätze lesen, die aber dafür verantwortlich sind, dass das Dokument bei denjenigen ankommt, die auch den Rest eures Geschreibsels verstehen können. Deswegen sollten die ersten Sätze für alle Menschen verständlich sein und die wichtigsten Fakten müssen rein", erklärt Wittmann. Es sei keine Bachelorarbeit und kein Roman.

Wenn das Dokument auch an offizielle Stellen wie Datenschutzbehörden geht, ist es empfehlenswert, auch den Dienst oder das Produkt zu beschreiben, um das es geht. Ein guter Anfang sei beispielsweise: "In der Mitglieds-App der Chaos Cat Community können durch eine Sicherheitslücke die Daten aller Mitglieder abgerufen werden. Dazu gehören: Name, Adresse, Bezahlstatus und Impfstatus." Den Rest des Dokuments schreibe man für eine technisch halbwegs fitte Zielgruppe, die beispielsweise wisse, was eine API ist.

Dort beschreibt man die Sicherheitslücke als erstes genau, aber kurz. Anschließend nennt man, ebenfalls kurz, die Auswirkungen. "Das ist zum einen wichtig, damit die Gegenseite schnell verstehen kann, wie schlimm die Lücke ist. Zum anderen hilft es den Aufsichtsbehörden einzuschätzen, ob sie gegen das Unternehmen vorgehen müssen", sagt Karl. Als drittes geht es darum, wie man die Lücke nachvollziehen kann, also beispielsweise die notwendigen Schritte, um eine Sicherheitslücke auszunutzen. Das kann auch ein kurzes Skript sein.

In einem vierten Punkt kann man Tipps geben, wie die Lücke geschlossen werden kann. "Aber das muss auch nicht sein. Das ist schließlich Aufgabe der Unternehmen und nicht eure", meint Wittmann. Auf keinen Fall sollten Wissen zurückgehalten oder Forderungen gestellt werden, denn das kann einem später negativ ausgelegt werden. Insbesondere sollte weder Geld verlangt oder das Angebot unterbreitet werden, beim Schließen der Sicherheitslücke zu helfen. Auch wenn man zu lange mit dem Melden warte, könne einem das negativ ausgelegt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Melden, ohne eine Anzeige zu riskieren 
  1. 1
  2. 2
  3. 3
  4.  


Aktuell auf der Startseite von Golem.de
Spielebranche
Microsoft will Activision Blizzard übernehmen

Diablo und Call of Duty gehören bald zu Microsoft: Der Softwarekonzern will Activision Blizzard für rund 70 Milliarden US-Dollar kaufen.

Spielebranche: Microsoft will Activision Blizzard übernehmen
Artikel
  1. Bundesservice Telekommunikation: Die dubiose Adresse in Berlin-Treptow
    Bundesservice Telekommunikation  
    Die dubiose Adresse in Berlin-Treptow

    Angeblich hat das Innenministerium nichts mit dem Bundesservice Telekommunikation zu tun. Doch beide teilen sich offenbar ein Bürogebäude.
    Ein Bericht von Friedhelm Greis

  2. Cloud-Orchestrierung mit Kubernetes, Openshift und Ansible
     
    Cloud-Orchestrierung mit Kubernetes, Openshift und Ansible

    Kaum ein Unternehmen kommt künftig ohne Cloud aus. In drei Online-Kursen der Golem Akademie erfahren Teilnehmende die Grundlagen klassischer Cloud-Themen.
    Sponsored Post von Golem Akademie

  3. Reddit: IT-Arbeiter automatisiert seinen Job angeblich vollständig
    Reddit
    IT-Arbeiter automatisiert seinen Job angeblich vollständig

    Ein anonymer IT-Spezialist will unbemerkt seinen Job vollständig automatisiert haben. Dem Arbeitgeber sei dies seit einem Jahr nicht aufgefallen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 Digital inkl. 2. Dualsense bestellbar • RTX 3080 12GB bei Mindfactory 1.699€ • Samsung Gaming-Monitore (u.a. G5 32" WQHD 144Hz Curved 299€) • MindStar (u.a. GTX 1660 6GB 499€) • Sony Fernseher & Kopfhörer • Samsung Galaxy A52 128GB 299€ • CyberGhost VPN 1,89€/Monat [Werbung]
    •  /