Warum jedes Unternehmen eine VDP braucht

Der ethische Hacker SaxX, der seit vier Jahren für die Bug-Bounty-Plattform YesWeHack auf Schwachstellenjagd ist, erklärt nachfolgend die Vorteile einer VDP für Unternehmen wie auch das Dilemma, das sich ohne VDP ergibt. [...]

Angesicht der Jahr für Jahr steigenden Anzahl von Cyberangriffen sollten Unternehmen diese Möglichkeit der Sicherung ihrer IT-Infrastruktur daher schnellstmöglich wahrnehmen (c) pixabay.com

Nach wie vor haben nur die wenigsten Unternehmen eine Vulnerability Disclosure Policy (VDP) im Einsatz. Das ist verwunderlich, hilft eine VDP Unternehmen doch dabei, sicherer zu werden. Mit einer VDP ließen sich viele Cybersicherheitsangriffe wie Datendiebstahl oder das Einschleusen von Ransomware verhindern, denn sie ermöglicht es ethischen Hackern, Schwachstellen in einem rechtlich gesicherten Umfeld aufzudecken.

Warum ist eine VDP wichtig?

Eine VDP ist für Organisationen eine Möglichkeit, Sicherheitslückenberichte von ethischen Hackern auf eine klare, strukturierte und sichere Art zu erhalten. Das kann eine einfache Textdatei oder eine detailliertere Webseite sein, die die Voraussetzungen für eine Schwachstellenmeldung genau definiert. Damit definieren Organisationen einen eindeutigen Kommunikationskanal für die Schwachstellenmeldung. Mit einer VDP können ethische Hacker Schwachstellen damit ohne Risiko melden, da sie wissen, dass das betroffene Unternehmen ihre Meldung ernst nimmt und nicht als Angriff missversteht.

SaxX: ethischer Hacker bon YesWeHack (c) YesWeHack.com

Ohne VDP ergibt sich jedoch nicht selten das folgende Dilemma: Medien berichten, dass Unternehmen gehackt wurden. Kurz darauf wird bekannt, dass ein ethischer Hacker bereits vor Monaten versucht hatte, dieses Unternehmen zu kontaktieren, um auf die kritische Sicherheitslücke hinzuweisen, die jetzt von böswilligen Hackern ausgenutzt wird. Leider ist es ihm nie gelungen, mit der richtigen Person im Unternehmen in Kontakt zu treten.

Angesicht der Jahr für Jahr steigenden Anzahl von Cyberangriffen sollten Unternehmen diese Möglichkeit der Sicherung ihrer IT-Infrastruktur daher schnellstmöglich wahrnehmen. Die Vorteile einer VDP für Unternehmen sind:

  • Durch die formalisierte Möglichkeit zur Schwachstellenmeldung kann die Zeit bis zur Behebung reduziert werden.
  • Mehr Vertrauen von Partnern, Kunden oder Nutzern, da mit einer VDP der Einsatz eines Unternehmens in puncto Sicherheit deutlich wird und entsprechend wertgeschätzt wird.
  • Durch Datenintegration in die internen Arbeitsabläufe wird das Schwachstellenmanagement der Sicherheitsabteilung optimiert.

Klare Abgrenzung von Bug-Bounty-Programmen

Wichtig sowohl für Unternehmen, als auch für die Hacker ist es, VDP nicht mit einem Bug-Bounty-Programm zu verwechseln oder zu vermischen. Eine VDP ist ein passiver Ansatz: Sie bietet einen sicheren Kommunikationskanal für jeden, der in guter Absicht einen Fehler melden möchte. Im Gegensatz dazu ist Bug Bounty ein proaktiver Ansatz: Unternehmen laden ethische Hacker ein, Schwachstellen nach streng definierten Regeln zu identifizieren und zu melden. Dafür erhalten diese dann eine vorher festgelegte, finanzielle Vergütung.

Geld macht also den Hauptunterschied zwischen VDP und Bug Bounty aus: Bei Bug Bounty geht es den Sicherheitsforschern ausschließlich um die Vergütung ihrer Leistung. Bei VDP hingegen gibt es keine finanzielle Belohnung. Wenn also ein ethischer Hacker eine Schwachstelle im Rahmen einer Vulnerability Disclosure Policy meldet, ist es sein moralisches und staatsbürgerliches Bewusstsein, das ihn dabei antreibt. Daher erwartet er keine Belohnung. Er tut es nur, damit das Unternehmen von der Schwachstelle erfährt, sie qualifiziert und so schnell wie möglich behebt, um weiteren Schaden abzuwenden.

Der Bug-Bounty-Anbieter YesWeHack bietet Unternehmen Unterstützung dabei an, eine professionelle VDP zu erstellen. Mehr Informationen zu den VDP-Services und der Verfügbarkeit für interessierte Unternehmen gibt es auf der Website und auf dem YouTube-Kanal von YesWeHack.

*Bernhard Lauer ist unter anderem freier Redakteur der dotnetpro und betreut hier beispielsweise die Rubrik Basic Instinct. Mit Visual Basic programmiert er privat seit der Version 1.0.


Mehr Artikel

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

News

Salesforce kündigt autonome KI-Agenten an

Agentforce soll es Unternehmen ermöglichen, autonome KI-Agenten für zahlreiche Unternehmensfunktionen zu entwickeln und einzusetzen. So bearbeitet Agentforce beispielsweise selbstständig Kundenanliegen, qualifiziert Vertriebsleads und optimiert Marketingkampagnen. […]

News

Startschuss für neues Studium „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln

Mit einem fortschrittlichen Konzept und praxisnaher Ausrichtung ist der neue Bachelor-Studiengang „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln der Fachhochschule Wiener Neustadt erfolgreich gestartet. Unter der Leitung von Dominik Hölbling erwartet die Studierenden eine Ausbildung mit Schwerpunkt auf moderne Softwaretechnologien und innovative Digitalisierungslösungen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*