Responsible Disclosure (IT-Sicherheit)

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Finden unabhängige IT-Sicherheitsexperten Schwachstellen in Computerprogrammen, sogenannte Sicherheitslücken, gibt es für sie mehrere Möglichkeiten der Offenlegung. Bei einer Responsible Disclosure oder auch Coordinated Disclosure stimmt sich der Entdecker mit den verantwortlichen Stellen ab und veröffentlicht Einzelheiten zu der Schwachstelle erst, wenn der Entwickler genügend Zeit hatte, diese zu beheben.[1]

Im Gegensatz dazu steht die Full Disclosure, bei der direkt die Öffentlichkeit informiert wird.

Die Entwickler von Hard- und Software benötigen im Allgemeinen Zeit und Ressourcen, um ihre Fehler zu beheben. Ethische Hacker sind der Meinung, dass es ihre soziale Verantwortung ist, die Öffentlichkeit auf Schwachstellen aufmerksam zu machen. Das Verschweigen dieser Probleme könnte sonst bei Nutzern ein Gefühl falscher Sicherheit hervorrufen. Um dies zu vermeiden, schließen sich die beteiligten Parteien zusammen und vereinbaren eine Frist für die Behebung der Schwachstelle und die Vermeidung künftiger Schäden. Je nach den potenziellen Auswirkungen der Schwachstelle, der voraussichtlichen Zeit, die für die Entwicklung und das Ausspielen eines Patches benötigt wird, sowie weiteren Faktoren kann dieser Zeitraum zwischen einigen Tagen und mehreren Monaten liegen. Teilweise stellt der Entdecker einer Schwachstelle auch dem Hersteller eine Frist, bis zu der dieser auf den Hinweis reagiert haben muss, um eine Full Disclosure zu verhindern.[2]

Es ist industrieweit etabliert, dem Melder einer Sicherheitslücke zu danken und ggf. zu belohnen. Allerdings können auch per Responsible Disclosure gemeldete Sicherheitslücken strafrechtliche Konsequenzen für den Entdecker nach sich ziehen. Ein Fallbeispiel ist der Sicherheitsforscher Patrick Webster, der herausfand, dass personenbezogene Daten einer australischen Behörde öffentlich einsehbar waren. Da er, um diese Sicherheitslücke zu entdecken, diese Daten eingesehen hatte, wurden ihm juristische Konsequenzen angedroht, diese wurden jedoch später aufgrund des öffentlichen Drucks zurückgezogen.[3][4] Auch die Sicherheitsforscherin Lilith Wittmann erhielt noch 2021 eine Strafanzeige, nachdem sie eine Sicherheitslücke in einer Wahlkampf-App der CDU entdeckte und responsible veröffentlichte. Die Partei entschuldigte sich später.[5]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. What is Responsible Disclosure? In: Bugcrowd. Abgerufen am 5. August 2021 (amerikanisches Englisch).
  2. Vulnerability Disclosure - OWASP Cheat Sheet Series. Abgerufen am 6. August 2021.
  3. Bug Bounty Startup Raises $26 Million. Abgerufen am 10. August 2021 (englisch).
  4. Alana Maurushat: Disclosure of Security Vulnerabilities (= SpringerBriefs in Cybersecurity). Springer London, London 2013, ISBN 978-1-4471-5003-9, S. 10 ff., doi:10.1007/978-1-4471-5004-6 (springer.com [abgerufen am 10. August 2021]).
  5. CDU zieht Anzeige wegen CDU-connect-App zurück und bittet um Entschuldigung, Nico Ernst, Heise online, 4. August 2021