Warum jedes Unternehmen eine VDP braucht

Der ethische Hacker SaxX, der seit vier Jahren für die Bug-Bounty-Plattform YesWeHack auf Schwachstellenjagd ist, erklärt nachfolgend die Vorteile einer VDP für Unternehmen wie auch das Dilemma, das sich ohne VDP ergibt. [...]

Angesicht der Jahr für Jahr steigenden Anzahl von Cyberangriffen sollten Unternehmen diese Möglichkeit der Sicherung ihrer IT-Infrastruktur daher schnellstmöglich wahrnehmen (c) pixabay.com

Nach wie vor haben nur die wenigsten Unternehmen eine Vulnerability Disclosure Policy (VDP) im Einsatz. Das ist verwunderlich, hilft eine VDP Unternehmen doch dabei, sicherer zu werden. Mit einer VDP ließen sich viele Cybersicherheitsangriffe wie Datendiebstahl oder das Einschleusen von Ransomware verhindern, denn sie ermöglicht es ethischen Hackern, Schwachstellen in einem rechtlich gesicherten Umfeld aufzudecken.

Warum ist eine VDP wichtig?

Eine VDP ist für Organisationen eine Möglichkeit, Sicherheitslückenberichte von ethischen Hackern auf eine klare, strukturierte und sichere Art zu erhalten. Das kann eine einfache Textdatei oder eine detailliertere Webseite sein, die die Voraussetzungen für eine Schwachstellenmeldung genau definiert. Damit definieren Organisationen einen eindeutigen Kommunikationskanal für die Schwachstellenmeldung. Mit einer VDP können ethische Hacker Schwachstellen damit ohne Risiko melden, da sie wissen, dass das betroffene Unternehmen ihre Meldung ernst nimmt und nicht als Angriff missversteht.

SaxX: ethischer Hacker bon YesWeHack (c) YesWeHack.com

Ohne VDP ergibt sich jedoch nicht selten das folgende Dilemma: Medien berichten, dass Unternehmen gehackt wurden. Kurz darauf wird bekannt, dass ein ethischer Hacker bereits vor Monaten versucht hatte, dieses Unternehmen zu kontaktieren, um auf die kritische Sicherheitslücke hinzuweisen, die jetzt von böswilligen Hackern ausgenutzt wird. Leider ist es ihm nie gelungen, mit der richtigen Person im Unternehmen in Kontakt zu treten.

Angesicht der Jahr für Jahr steigenden Anzahl von Cyberangriffen sollten Unternehmen diese Möglichkeit der Sicherung ihrer IT-Infrastruktur daher schnellstmöglich wahrnehmen. Die Vorteile einer VDP für Unternehmen sind:

  • Durch die formalisierte Möglichkeit zur Schwachstellenmeldung kann die Zeit bis zur Behebung reduziert werden.
  • Mehr Vertrauen von Partnern, Kunden oder Nutzern, da mit einer VDP der Einsatz eines Unternehmens in puncto Sicherheit deutlich wird und entsprechend wertgeschätzt wird.
  • Durch Datenintegration in die internen Arbeitsabläufe wird das Schwachstellenmanagement der Sicherheitsabteilung optimiert.

Klare Abgrenzung von Bug-Bounty-Programmen

Wichtig sowohl für Unternehmen, als auch für die Hacker ist es, VDP nicht mit einem Bug-Bounty-Programm zu verwechseln oder zu vermischen. Eine VDP ist ein passiver Ansatz: Sie bietet einen sicheren Kommunikationskanal für jeden, der in guter Absicht einen Fehler melden möchte. Im Gegensatz dazu ist Bug Bounty ein proaktiver Ansatz: Unternehmen laden ethische Hacker ein, Schwachstellen nach streng definierten Regeln zu identifizieren und zu melden. Dafür erhalten diese dann eine vorher festgelegte, finanzielle Vergütung.

Geld macht also den Hauptunterschied zwischen VDP und Bug Bounty aus: Bei Bug Bounty geht es den Sicherheitsforschern ausschließlich um die Vergütung ihrer Leistung. Bei VDP hingegen gibt es keine finanzielle Belohnung. Wenn also ein ethischer Hacker eine Schwachstelle im Rahmen einer Vulnerability Disclosure Policy meldet, ist es sein moralisches und staatsbürgerliches Bewusstsein, das ihn dabei antreibt. Daher erwartet er keine Belohnung. Er tut es nur, damit das Unternehmen von der Schwachstelle erfährt, sie qualifiziert und so schnell wie möglich behebt, um weiteren Schaden abzuwenden.

Der Bug-Bounty-Anbieter YesWeHack bietet Unternehmen Unterstützung dabei an, eine professionelle VDP zu erstellen. Mehr Informationen zu den VDP-Services und der Verfügbarkeit für interessierte Unternehmen gibt es auf der Website und auf dem YouTube-Kanal von YesWeHack.

*Bernhard Lauer ist unter anderem freier Redakteur der dotnetpro und betreut hier beispielsweise die Rubrik Basic Instinct. Mit Visual Basic programmiert er privat seit der Version 1.0.


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*