Warum jedes Unternehmen eine VDP braucht

Der ethische Hacker SaxX, der seit vier Jahren für die Bug-Bounty-Plattform YesWeHack auf Schwachstellenjagd ist, erklärt nachfolgend die Vorteile einer VDP für Unternehmen wie auch das Dilemma, das sich ohne VDP ergibt. [...]

Angesicht der Jahr für Jahr steigenden Anzahl von Cyberangriffen sollten Unternehmen diese Möglichkeit der Sicherung ihrer IT-Infrastruktur daher schnellstmöglich wahrnehmen (c) pixabay.com

Nach wie vor haben nur die wenigsten Unternehmen eine Vulnerability Disclosure Policy (VDP) im Einsatz. Das ist verwunderlich, hilft eine VDP Unternehmen doch dabei, sicherer zu werden. Mit einer VDP ließen sich viele Cybersicherheitsangriffe wie Datendiebstahl oder das Einschleusen von Ransomware verhindern, denn sie ermöglicht es ethischen Hackern, Schwachstellen in einem rechtlich gesicherten Umfeld aufzudecken.

Warum ist eine VDP wichtig?

Eine VDP ist für Organisationen eine Möglichkeit, Sicherheitslückenberichte von ethischen Hackern auf eine klare, strukturierte und sichere Art zu erhalten. Das kann eine einfache Textdatei oder eine detailliertere Webseite sein, die die Voraussetzungen für eine Schwachstellenmeldung genau definiert. Damit definieren Organisationen einen eindeutigen Kommunikationskanal für die Schwachstellenmeldung. Mit einer VDP können ethische Hacker Schwachstellen damit ohne Risiko melden, da sie wissen, dass das betroffene Unternehmen ihre Meldung ernst nimmt und nicht als Angriff missversteht.

SaxX: ethischer Hacker bon YesWeHack (c) YesWeHack.com

Ohne VDP ergibt sich jedoch nicht selten das folgende Dilemma: Medien berichten, dass Unternehmen gehackt wurden. Kurz darauf wird bekannt, dass ein ethischer Hacker bereits vor Monaten versucht hatte, dieses Unternehmen zu kontaktieren, um auf die kritische Sicherheitslücke hinzuweisen, die jetzt von böswilligen Hackern ausgenutzt wird. Leider ist es ihm nie gelungen, mit der richtigen Person im Unternehmen in Kontakt zu treten.

Angesicht der Jahr für Jahr steigenden Anzahl von Cyberangriffen sollten Unternehmen diese Möglichkeit der Sicherung ihrer IT-Infrastruktur daher schnellstmöglich wahrnehmen. Die Vorteile einer VDP für Unternehmen sind:

  • Durch die formalisierte Möglichkeit zur Schwachstellenmeldung kann die Zeit bis zur Behebung reduziert werden.
  • Mehr Vertrauen von Partnern, Kunden oder Nutzern, da mit einer VDP der Einsatz eines Unternehmens in puncto Sicherheit deutlich wird und entsprechend wertgeschätzt wird.
  • Durch Datenintegration in die internen Arbeitsabläufe wird das Schwachstellenmanagement der Sicherheitsabteilung optimiert.

Klare Abgrenzung von Bug-Bounty-Programmen

Wichtig sowohl für Unternehmen, als auch für die Hacker ist es, VDP nicht mit einem Bug-Bounty-Programm zu verwechseln oder zu vermischen. Eine VDP ist ein passiver Ansatz: Sie bietet einen sicheren Kommunikationskanal für jeden, der in guter Absicht einen Fehler melden möchte. Im Gegensatz dazu ist Bug Bounty ein proaktiver Ansatz: Unternehmen laden ethische Hacker ein, Schwachstellen nach streng definierten Regeln zu identifizieren und zu melden. Dafür erhalten diese dann eine vorher festgelegte, finanzielle Vergütung.

Geld macht also den Hauptunterschied zwischen VDP und Bug Bounty aus: Bei Bug Bounty geht es den Sicherheitsforschern ausschließlich um die Vergütung ihrer Leistung. Bei VDP hingegen gibt es keine finanzielle Belohnung. Wenn also ein ethischer Hacker eine Schwachstelle im Rahmen einer Vulnerability Disclosure Policy meldet, ist es sein moralisches und staatsbürgerliches Bewusstsein, das ihn dabei antreibt. Daher erwartet er keine Belohnung. Er tut es nur, damit das Unternehmen von der Schwachstelle erfährt, sie qualifiziert und so schnell wie möglich behebt, um weiteren Schaden abzuwenden.

Der Bug-Bounty-Anbieter YesWeHack bietet Unternehmen Unterstützung dabei an, eine professionelle VDP zu erstellen. Mehr Informationen zu den VDP-Services und der Verfügbarkeit für interessierte Unternehmen gibt es auf der Website und auf dem YouTube-Kanal von YesWeHack.

*Bernhard Lauer ist unter anderem freier Redakteur der dotnetpro und betreut hier beispielsweise die Rubrik Basic Instinct. Mit Visual Basic programmiert er privat seit der Version 1.0.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*