Vulnerability Disclosure Program: Web-Facing Applikationen haben oft Schwachstellen

Sicherheitslücken schliessen dank Vulnerability Disclosure Programm
(Complete Guide)

In der IT-Sicherheit werden vor allem eines gefürchtet: Ein Hackerangriff. Doch um Sicherheitslücken in Programmen zu finden und effektiv zu schließen, haben nur wenige Unternehmen ein voll funktionsfähiges Vulnerability oder Responsible Disclosure Programm entwickelt.

Dabei ist klar: Die Sicherheit von Daten (und ganzen Systemen) kann durch besser strukturierte Prozesse optimiert werden. So können wir Schwachstellen in Systemen finden und schneller eliminieren.

Dafür sollten wir ein Vulnerability Disclosure Programm (VDP) aufstellen, mit dem wir potentiellen Hackerangriffen wirklich gewachsen sind. In einigen Ländern wie den USA ist dies bereits z.B. für die öffentliche Verwaltung eine Pflicht.

Ein Datenschutz-Audit oder ein Business Continuity oder Disaster Recovery Plan muss dafür allerdings einiges können — und die richtigen KPIs liefern. Damit wir dank erfolgreichem VDP in Zukunft einen effektiven „Anti-Ransomware“ Schutz vor Hackerangriffen haben.

… aber was genau müssen wir tun?

Wir zeigen es Ihnen hier — mit Fokus auf diese Key Learnings:

  1. Wichtige Grundlagen und Definitionen, die Sie unbedingt kennen sollten (auch wenn Sie selbst kein IT-Experte sind): Was sind Vulnerabilities, was ist ein Responsible Disclosure Programm?
  2. 8 Schritte zum erfolgreichen VDP — das kompakte HOW-TO für Unternehmen und worauf Sie achten müssen, wenn Sie ein VDP aufsetzen.
  3. Relevante Kennzahlen, um die Effektivität Ihres VDP zu überprüfen.


1. IT-Sicherheit: Grundlegende Definitionen

Bei der Speicherung und Verarbeitung von sensiblen Daten kommt es häufig vor, dass es kein ausgearbeitetes und funktionsfähiges Responsible Disclosure oder Vulnerability Disclosure Programm (VDP) gibt.

Wir zeigen Ihnen deshalb hier, um was es geht, was ein VDP können muss und warum Unternehmen es dringend brauchen – bevor es zu einem Hackerangriff kommt.

Was sind Vulnerabilities?

Definition: „Vulnerabilities“ sind einfach übersetzt „Schwachstellen“.

Für IT-Sicherheitsexperten sind Vulnerabilities Schwachstellen in Computerprogrammen, also Sicherheitslücken jeglicher Art, die es in allen Software-Systemen und Programmen, sowie im Internet überall gibt… und die es zu finden gilt.

Denn sie sind es auch, die die weltweit rasant wachsende Anzahl an Hackerangriffen ermöglichen.

Online gibt es deshalb beispielsweise Website Vulnerability Scanner, mit denen Sie das Risk Assessment selbst in die Hand nehmen können und Ihre Website auf etwaige Sicherheitslücken prüfen können.

Doch im Zeitalter von Big Data and Even Bigger Hacker Attacks reichen solche Vulnerability Scans allein schon lange nicht mehr… Unternehmen müssen handeln (bevor es zu spät ist).

Beispiel Website Vulnerability Scan:

Welche Sicherheitslücken stellen für Sie gerade jetzt — in diesem Augenblick — ein Risiko dar?

Kleiner Test gefällig? Zum Quick Scan, mit dem Sie erste Sicherheitslücken auf Ihrer eigenen Webseite finden können, gelangen Sie hier: UNCQ Ltd. Supplier Assurance

Kostenloses Website Vulnerability Scanner Tool von NCQ Ltd. Supplier Assurance — Sucht nach Ransomware und Malware, prüft Ports, Services, Produkte auf SSL Vulnerability, expired Certificates, nicht eingespielte Software Patches und andere.
Kostenloses Website Vulnerability Scanner Tool von NCQ Ltd. Supplier Assurance — sucht nach Ransomware und Malware, prüft Ports, Services, Produkte auf SSL Vulnerability, expired Certificates, nicht eingespielte Software Patches und andere.

HINWEIS — Auch wenn hier vielleicht noch kein Problem erscheint: Es ist nur der Anfang. Grössere Tools für umfangreiche Risiko-Scans gehen noch viel weiter in die Tiefe und könnten ein grosses Gefahrenpotential aufdecken…

Was ist ein Vulnerability Disclosure Programm?

Das Vulnerability Disclosure Programm (VDP) wird oft auch Vulnerability oder Responsible Disclosure Policy genannt.

Einfach erklärt, geht es dabei um die Verbesserung der IT-Sicherheit von Programmen und Anwendungen, Daten und Informationen, damit wir persönliche Daten schützen zu können.

Es handelt sich um ein Programm zur verantwortungsvollen Offenlegung (Responsible Disclosure) von IT-Sicherheitslücken.

Sicherheitslücken finden, melden, offenlegen & schliessen

Das VDP dient in der Regel dazu, IT-Sichterheit und Datenschutz zu verbessern. Hackerangriffe sollen erfolgreich abgewehrt und das Risiko für Datenlecks soll minimiert werden. 

Es hilft, mögliche Schwachstellen in Programmen zu finden, sodass diese eliminiert werden können.

Ein VDP bietet einen sicheren Kanal z.B. für Forschende, um Sicherheitslücken und -probleme zu melden. Das Programm umfasst ein Rahmenwerk für die Aufnahme, Triage und Arbeitsabläufe zur ihrer Behebung.

Dies ermöglicht Organisationen und Forschenden, effizient miteinander zu kommunizieren, um Sicherheitsrisiken zu minimieren.

Wichtig: Vulnerability Disclosure meint zwar das Aufdecken von Sicherheitslücken und Schwachstellen. Doch das entsprechende Programm ist mehr als ein Formular, mit dem Mitarbeiter IT-Sicherheitslücken melden können.

Ein solches Meldeformular für fehlerhafte Einstellungen oder Sicherheitsproblemen mit veralteten Anwendungen ist natürlich wichtig. Sonst können diese ja nicht eliminiert werden. Datenschutz und IT-Sicherheit sind damit aber noch lange nicht gewährleistet.

In einigen Ländern ist das Vulnerability Disclosure Programm bereits Pflicht. Beispielsweise hat die US Cybersecurity and Infrastructure Security Agency (CISA) die verbindliche operative Richtlinie für öffentliche Stellen und Verwaltungsabteilungen des Bundes im Januar 2020 ausgegeben.

Auch in Europa wird es immer mehr zum „State of the Art“, ein voll ausgearbeitetes Disclosure-Programm zu haben.

Responsible Disclosure vs. Full Disclosure

Wenn Sicherheitsexperten Schwachstellen in Computerprogrammen oder anderweitig Sicherheitslücken finden, gibt es mehrere Möglichkeiten der Offenlegung. Beim Responsible Disclosure (auch Coordinated Disclosure) stimmen sich Entdecker und verantwortliche Stelle ab. Einzelheiten zu der Schwachstelle werden erst dann veröffentlicht, wenn der Entwickler diese behoben hat.

Im Gegensatz dazu steht die Full Disclosure, bei der die Öffentlichkeit direkt informiert wird.

Black Hat Hacker vs. White Hat Hacker

Es gibt verschiedene Arten von Hackern: Im Prinzip: Die Guten und die Bösen. Während wir Sicherheitslücken finden müssen, um Black Hats abzuwehren, brauchen wir das Responsible Disclosure Programm auch für die White Hackers, die wir fördern sollten.

Was ist ein Black Hat Hacker?

Black Hat Hacker sind uns allen bekannt und werden gefürchtet. Sie verüben Hackerangriffe auf Wifis oder legen globale digitale Infrastrukturen von Unternehmen komplett lahm.

Sie hacken und infizieren Computer mit Viren und stehlen Daten. Wegen diesen brauchen wir ein gutes Anti-Ransomware Schutzsystem, um Hackerangriffe effektiv abwehren zu können.

Was sind White Hat Hackers?

White Hat Hackers sind dagegen Ethical Hacker, die helfen, Sicherheitslücken zu finden um diese den betroffenen Institutionen zu melden – wenn es eine Vulnerability Disclosure Policy auf ihrer Website gibt.

Es handelt sich um eine öffentlich zugängliche Richtlinie (siehe unten), die festlegt, dass ethisch-motivierte Hacker keine strafrechtliche Verfolgung fürchten müssen, wenn sie Sicherheitslücken finden und melden. Dann können die Firmen profitieren. Und schlimmeres vermeiden.

2. Warum sind Vulnerability Disclosure Programme wichtig?

Warum braucht es eine solche Policy? Warum werden solche zum Teil sehr aufwendigen Programme immer notwendiger und tatsächlich so dringend benötigt, dass sie in manchen Ländern bereits Pflicht sind?

Die Zahl der Hackerangriffe weltweit nimmt stetig zu — das ist schon lange keine neue Einsicht mehr.

Hackerangriffe Live-Tracker Karte: An einem regulären Mittwoch Vormittag um kurz nach 11 sind es bereits über 9 Mio. Cyberattacken weltweit...
Hackerangriffe Live-Tracker Karte: An einem regulären Mittwoch Vormittag um kurz nach 11 sind es bereits über 9 Mio. Cyberattacken weltweit…

Doch das Risiko für Hackerangriffe wird noch potentiert.

Denn Sicherheitslücken in IT-Systemen oder Computerprogrammen können auch zu Schäden an anderen Systemen führen — wenn diese miteinander vernetzt sind. (Und was ist heutzutage schon nicht mit irgendetwas anderem vernetzt?)

Responsible Disclosure Programme helfen, enorme IT-Risiken wie diese besser zu managen. Die meisten Schwachstellen und LVulnerabilityücken entstehen dabei aus diesen 4 Gründen:

  1. Vernetzung erhöht Risiken: Wenn 100 Systeme miteinander interagieren, sind das etwa 5’000 bis 10’000 Interaktionen und damit auch potenzielle Schwachstellen, die sich aus diesen Interaktionen ergeben. Je mehr miteinander vernetzt ist, desto mehr Schwachstellen in dem einen System wirken sich auf andere Systeme aus. Selbstverständlich, auch auf globaler Ebene.

  2. Die Entfernung spielt keine Rolle: Ich habe eine Wohnung in Zürich. Der supergeschickte Einbrecher aus Los Angeles ist mir egal. Der wird wohl kaum hierher kommen. Im Internet gelten andere Regeln, eine Hackerin aus Los Angeles kann mein Heimnetzwerk genauso leicht hacken wie das Wifi auf der ihr gegenüber liegenden Strassenseite.

  3. Hacker Skills sind immer weniger wichtig: Es braucht immer weniger Schlüsselqualifikationen und Knowhow, um eine funktionsfähige Hacker-Software zu schreiben. Ein Hacker kann sich diese heute sehr einfach kaufen. Einige Tools sind sogar kostenlos.

  4. Ganze Klassen von Applikationen / Computern werden infiziert („class break“): Zum Beispiel kann ein Fehler in der Verschlüsselung von Daten eine ganze Reihe von Personalausweisen befallen, sodass diese nicht mehr genutzt werden können, wie dies im Herbst 2017 in Estonien passierte. 

Doch es gibt noch viele weitere Risiken, Probleme und Herausforderungen im Cyberspace, wie zum Beispiel das Outsourcing & Cloud Services. Dazu folgt in Kürze hier mehr: IT-Risiken, Sicherheitsprobleme und Herausforderungen im Vulnerability Management 2021.

3. HOW TO — Responsible Disclosure Programm für Unternehmen

Ein gut durchdachtes (Responsible) Vulnerability Disclosure Programm für Unternehmen dient als Grundlage für das gesamte IT-Security Management. Deshalb werden die folgenden Leitfragen definiert:

  • Wie gehen Unternehmen mit eingehenden Warnmeldungen um (technisch und rechtlich)?
  • Wie kommunizieren Unternehmen mit Personen, die Sicherheitslücken finden und melden?
  • Wie validieren und entschärfen interne und/oder externe IT-Experten Teams die Sicherheitslücken?
  • Wie werden die Aktivitäten und Ergebnisse zusammengefasst und an Stakeholder und Entscheidungsträger kommuniziert?

Grundlegend für die Ausarbeitung sind diese 8 Schritte. Detaillierte Ausführungen und wertvolle Tipps zu den einzelnen Schritten finden Sie unten.

8 Schritte zum erfolgreichen Vulnerability Disclosure Programm:

Die Vorarbeit:

Die Basis für die ersten 3 Schritte, die reine Vorarbeit sind, bildet auch ein erstes Vulnerability Testing durch IT-Sicherheitsexperten und/oder mit entsprechenden Website oder Software Scanner Tools.

  1. Inventar erstellen: Das sog. Attack Surface Management Inventory ist die Basis Ihres VDP.
  2. VDP-Richtlinie aufsetzen: Einige rechtliche Überlegungen gehen der Ausarbeitung der Disclosure Policy voraus. Diese wird dann im Internet zugänglich gemacht.
  3. Formular zur Meldung von Sicherheitslücken erstellen: Dieses wird ebenfalls auf der Website zugänglich gemacht.

Die Umsetzung:

Beim VDP handelt es sich um einen passiven Ansatz, d.h. wenn das Programm dann online ist, warten wir auf Nutzer, welche die Sicherheitslücken finden und über ein Formular melden. Dann folgt die aktive Arbeit der Verantwortlichen: das Risk Assessment & die Schliessung der Sicherheitslücken:

  1. Verifizierung der Meldungen: Stimmt die eingereichte Meldung über bestehende Sicherheitslücken?
  2. Risk Assessment / Triage: Welches Sicherheitsrisiko besteht? Prioriäten müssen klar gesetzt werden.
  3. Lösungsfindung und Korrektur: Wie können die Sicherheitslücken eliminiert werden und welche Korrekturmöglichkeit wird umgesetzt?
  4. Einspielung der Fixes: Wie und wann kann der Fix in das aktive System oder Programm eingespielt werden?

Kontrolle & Kommunikation:

  1. Kontrolle anhand von KPIs: Funktioniert der eingespielte Fix? Ist die Sicherheitslücke geschlossen… oder gibt es noch Probleme, die behoben werden müssen?
  2. Kommunikation: intern & extern, mit Mitarbeiten und Experten, aber auch Stakeholdern und Entscheidungsträgern?

1. Attack Surface Management Inventar erstellen

Fundamental für ein erfolgreiches Responsible Disclosure Programm ist die richtige Vorarbeit. Ohne ein vollständiges Inventar, das aufzeigt, welche Geräte, Programme und Systeme genutzt werden, ist Datensicherheit nur ein Traum:

„If you don’t know what is yours, you can neither keep it safe nor secure.“

In der Fachsprache wird ein solches Inventar auch Attack Surface Management Inventory genannt.

Sie definieren hier genau, welche Systeme Teil des VDP sind und welche nicht. Anfangs können Sie 3-5 strategisch wichtige Applikationen in das VDP aufnehmen. Später mehr hinzufügen.

Beispiel: Dank eines neu erstellten Inventars fiel einem unserer Kunden auf, dass ein Programm, welches von einem Outsourcer in Indien gemanaged und gewartet werden sollte, seit 2 Jahren tatsächlich gar nicht mehr genutzt und auch nicht aktualisiert wurde.

Es handelt sich um ein sehr hohes Sicherheitsrisiko, weil anscheinend niemand diese Applikation im Auge behalten hatte. Sie ist veraltet und notwendige Updates wurden nicht durchgeführt, wodurch eine riesige digitale Sicherheitslücke für das europäische Unternehmen entstanden ist.

2. Überlegungen zur Richtlinie: Der Hacker Paragraph

Fast jedes Land hat irgendwelche Gesetze oder Paragraphen, die zum Thema Hackerangriffe Stellung nehmen (siehe Deutschland’s Hacker Paragraph). Thematisiert werden dabei Phishing und Patch Management, Ransomware Schutz und Notfallpläne, aber auch Edge Computing und Governance Policy zum Beispiel.

Security Operation Center SOC: Phishing Attack, Patch Management, Notfallplan, Ransomware, Edge Computing, Governance Policy.
Security Operation Center SOC: og. Ethical Hackers können Sicherheitslücken finden und so zum Anti-Ransomware Schutz beitragen.

Sog. Ethical Hackers („White Hat Hackers“) können Sicherheitslücken finden. Das ist essentiell für Fortschritte in der IT-Sicherheit. Doch wenn diese eine Strafverfolgung riskieren, werden sie wohl kaum gefundene Schwachstelle melden wollen.

Mit Hilfe des VDP geht das Unternehmen die Verpflichtung ein, gegen niemanden aufgrund derartiger Sicherheitsforschungsaktivitäten rechtliche Schritte einzuleiten.

Die Richtlinie formuliert, welche Systeme auf welche Art überprüft werden dürfen und stellt sicher, dass bei Einhaltung dieser Richtlinien der ethisch-motivierte Hacker nichts zu befürchten hat.

So kann es in der Vulnerability Disclosure Policy zum Beispiel heissen:

Wenn Sie sich in gutem Glauben bemühen, diese Richtlinie während Ihrer Sicherheitsforschung einzuhalten, betrachten wir Ihre Forschung als autorisiert und arbeiten mit Ihnen zusammen, um das Problem schnell zu verstehen und zu lösen. Die Firma …… wird keine rechtlichen Schritte im Zusammenhang mit Ihrer Forschung empfehlen oder verfolgen.“

Tipp zur Ausarbeitung

Die Richtlinien müssen dokumentieren, dass es keine rechtlichen Konsequenzen zu fürchten gibt, wenn Sicherheitslücken gefunden und gemeldet werden, beispielsweise über das entsprechend dafür implementierte Formular auf der Website.

Einige Unternehmen oder politische Parteien haben kein solches Formular.

Ein Beispiel gefällig? Die Entwicklerin Lilith Wittmann hatte in einer Wahlkampf-App der CDU eine Sicherheitslücke entdeckt. Sie konnte unter anderem persönliche Daten wie E-Mail-Adressen oder Fotos der gut 18,000 Wahlkampfhelfer abrufen. Das meldete sie dem Bundesamt für Sicherheit in der Informationstechnik, dem Berliner Datenschutzbeauftragten und später auch der CDU direkt.

Die CDU reichte Strafanzeige gegen Lilith Wittmann ein. Der Aufschrei und die der Partei entgegenkommende Entrüstung war der Parteizentrale dann aber zu gross. Die CDU erkannte ihren Fehler, die daraus resultierende Blamage und zog die Strafanzeige wieder zurück.

Responsible Disclosure Policy Beispiele:

Hier sind einige Beispiele von guten Vulnerability Disclosure Policies grosser Unternehmen (in Englischer Sprache):

3. Formular zur Meldung von Sicherheitslücken

Pentester fanden 136 Sicherheitslücken im System für das Covid-Zertifikat in der Schweiz. Die Menge sei aufgrund des Umfangs an Code und Infrastruktur normal, so das NCSC. Einige kritische Mängel wurden noch nicht publiziert.

Wir haben aber oben darauf hingewiesen, dass wenn 100 Systeme miteinander interagieren, sind das etwa 5.000 bis 10.000 Interaktionen und potenzielle Schwachstellen. Das dabei eine hohe Anzahl von Warnungen abgearbeitet werden müssen, ist klar.

Wenn das Programm einmal eine Richtlinie hat (siehe oben), geht es darum diese umzusetzen. Beispielsweise muss ein Formular erstellt werden, mit dem gefundene Sicherheitslücken gemeldet werden können.

Man muss sich dabei jedoch klar sein, dass es sich bei einem solchen Formular um einen passiven Ansatz handelt: Das Unternehmen wartet darauf, dass sich irgendwelche IT-Samariter finden, die sich die Mühe machen, eine Schwachstelle zu finden und zu melden.

Tipp zur Nutzung eines Bug Bounty Programms wie HackCrowd

Um die Problematik des passiven Ansatzes zu umgehen, haben viele Organisationen ein Bug Bounty Programm aufgesetzt (z.B. die TX Group). 2020 bezahlte das Programm noch CHF 2300 für die Meldung einer Sicherheitslücke von Priorität 1. Damals war das Programm noch privat, d.h. Hacker wurden beauftragt, Sicherheitslücken zu finden.

Seit Frühjahr 2021 ist das Programm laut Andreas Schneider, Group CISO bei TX Group öffentlich, d.h. jedermann kann mitmachen. Kürzlich wies Andreas Schneider auch darauf hin, dass der Bonus für eine Meldung der Priorität 1 der TX Group $ 5,000 Wert ist.

Das TX Group Beispiel zeigt, dass die Preise der HackCrowd Teilnehmer steigen, dieses Jahr sicherlich um gut 60% gegenüber 2020. Nichtdestotrotz, können sich die Resultate sehen lassen und die Investition lohnt sich.

4. DIE UMSETZUNG:
Risk Assessment, Triage, Priorisierung & Lösungsfindung

Wenn eine Sicherheitslücke gemeldet wird, dann ist Zeit sehr wichtig. Die Gefahr für einen Hackerangriff durch einen „Black Hat Hacker“ kann mitunter sehr gross sein.

Deshalb müssen die 4 Schritte unter dem Punkt Vulnerability Assessment möglichst schnell durchgeführt werden. Diese zur Erinnerung:

  • Verfizierung der gemeldeten Sicherheitslücken
  • Beurteilung des Sicherheitsrisikos und Priorisierung
  • Lösungsfindung und Korrektur
  • Einspielung der Fixes

Eingehende Meldungen müssen analysiert werden. Beim Risiko Assessment oder der Triage beurteilen Expertinnen, wie gross die Gefahr ist, die von der Schwachstelle ausgeht. Anhand des Gefahrenpotentials wird dann das Risiko evaluiert.

Im April 2021 informierten Ethical Hackers Kasay vertraulich über eine Sicherheitslücke der Plattform — siehe DIVD – CSIRT. Wie üblich wurde ein Teil der Information nach 90 Tagen öffentlich gemacht. Kasaya hatte in der Zwischenzeit mehrere Verbesserungen vorgenommen, doch das reichte nicht…

Eine gravierende Sicherheitslücke mit höchster Priorität sollte innherhalb weniger Tage vom Verantwortlichen und seinem IT-Sicherheitsteam gelöst werden. Für die Korrektur des Fehlers benötigt der Security Engineer vor Ort vielleicht auch Hilfe von ausserhalb. Es dauert allerdings, mehrere Parteien zu koordinieren.

Das Ziel ist es, kritische Sicherheitslücken möglichst innerhalb eines Tages zu schliessen.

Florian Schütz, Delegierter des Bundes für Cybersecurity (Schweiz)

Doch FireEye hat z.B. Daten publiziert, aus denen ersichtlich ist, dass es im Schnitt 9 Tage dauert, bis ein Softwarehersteller (z.B. Microsoft, SAP oder Oracle) nach Erhalt der Information zu einer Schwachstelle den Patch an Kunden ausrollt.

Tipp zum Vulnerability Assessment und der Fehlerbehebung

Es darf nicht vergessen werden, dass Lösung nicht gleich Lösung ist. Es braucht viel Zeit, die richtige Lösungsmöglichkeit zu finden. Manchmal lässt sich auch ein Teil des Problems auf die Schnelle beheben, um das Risiko zu reduzieren. Eine vollständige Fehlerkorrektur ist nicht immer sofort möglich.

Dann braucht es zusätzliche Zeit, die Lösung per Update ins aktive System einzuspielen UND zu testen. Dabei können auch neue Sicherheitslücken zutage treten. Hier erfordert jedes individuelle Problem eine individuelle Lösung, d.h. es gibt keinen pauschalen Tipp, ausser sich dessen bewusst zu sein, um schnell handeln zu können.

5. Das Controlling mit den richtigen Kennzahlen

Für jedes Programm braucht es KPIs, die es uns erlauben, Dinge zu überprüfen.

Florian Schütz, Delegierter des Bundes für Cybersecurity (Schweiz) hat sich ein sehr lobenswertes Ziel gesetzt: Sicherheitslücken innerhalb eines Tages zu eliminieren. Also ist hier eine mengenbasierte Kennzahl wie die folgende hilfreich:

  • Wie viele Tage vergingen bis eine Sicherheitslücke – gemäss Priorität – nach deren Meldung geschlossen wurde? 

Da werden die Zahlen sehr bald zeigen, ob das optimistische Ziel erreicht wurde. Oder aber nicht. Was der Realität entsprechen dürfte, gemäss unserer Erfahrung.

Zusätzlich müssen geschäftsrelevante Kennzahlen genutzt werden. Ein Beispiel:

  • Wie viele Systemausfälle aufgrund von Schwachstellen-Exploits wurden dieses Quartal verursacht?

Tipp zu Kennzahlen für das Controlling

Wir halten fest: Neben zeitkritischen Kennzahlen, die einen Vergleich mit Industrie-Standards zulassen, brauch es auch geschäftsrelevante KPIs. Diese sind für die Geschäftsleitung wichtig, denn nur sie stehen in Relation zur strategischen Zielsetzung eines Unternehmens.

Eine Liste der Kennzahlen fürs Vulnerability Management finden Sie unten. Diese Kennzahlen helfen auch langfristig das herauszuarbeiten, was insgesamt im Prozess funktioniert und was nicht, um zu optimieren und Best Practices für das IT-Sicherheitsteam zu etablieren.

6. Die Kommunikation für Millennials als Schlüssel zum Erfolg

Zeitnahe Krisenkommunikation nach innen und aussen, vorbereitet vom Expertenteam in Absprache mit verschiedenen Fachleuten ist hier wichtig. Eine reine Kommunikationsausbildung ohne Fachkompetenz reicht bei diesen komplexen technischen Themen nicht.

Transparenz ist die beste Lösung, wenn es um sensible Daten geht und das Vertrauen der Kunden nicht beschädigt werden soll. Das Vulnerability Disclosure Programm spielt hier eine zentrale Rolle für Mitarbeiterinnen, Investoren sowie andere Interessengruppen.

Es hilft, die Sicherheitskultur dank Informationen mit Mehrwert für die Stakeholder zu verbessern. Mithilfe der Website, einem Newsletter, RSS Feed für Corporate News usw. sowie guter Auffindbarkeit dank Suchmaschinenoptimierung können Interessierte einfach Zugang erhalten. Diese Inhalte können auch über die Presse oder Social Media schnell weiter verbreitet werden.

Tipp zur Corporate Communication über Sicherheitslücken

Kommunikation im Falle von der Meldung von Schwachstellen ist der Schlüssel zum Erfolg. Dabei müssen wir sicherstellen, dass die Online-Kommunikation über verschiedenen Kanäle auch dann noch funktioniert, wenn der Rest der Systeme z.B. wegen eines Hackerangriffs offline ist.

Ein Beispiel gefällig? Katastrophe bei T-Mobile im August 2021: Datenklau. Ein Rache-motivierter Hacker hatte eine Sicherheitslücke dazu genutzt, sensible persönliche Kundendaten zu stehlen.

Einen Teil davon gibt es im Internet für 26 Bitcoins zu kaufen. Das Unternehmen hat in diesem Falle sehr gut, rasch und transparent auch auf digitalen Kanälen kommuniziert:

Die gestohlenen Daten enthalten Informationen wie die IMSI (International Mobile Equipment Identity - eine Nummer, die zur Identifizierung von Mobiltelefonen verwendet wird), IMEI (​​International Mobile Subscriber Identity - eine Nummer, die eindeutig einem Nutzer eines Mobile Network zugeordnet ist), Telefonnummern, Kundennamen, Sicherheits-PINs, Sozialversicherungsnummern (Social Security Number wie die AHV Nr. in der Schweiz), Führerscheinnummern und Geburtsdaten der Kunden. Die gestohlenen Informationen können von Hackern für den Identitätsdiebstahl (Identity Theft) genutzt werden.
Vorbildliche Corporate Communication zum Datenklau bei T-Mobile: Die gestohlenen Daten enthalten Informationen wie Telefonnummern, Kundennamen, Sicherheits-PINs, Sozialversicherungs- und Führerscheinnummern sowie Geburtsdaten der Kunden.

4. Kennzahlen: Was macht ein Vulnerability Disclosure Programm erfolgreich?

Was macht ein Vulnerability Disclosure Programm erfolgreich? Und welche KPIs / Metrics empfehlen sich für die Beurteilung eines Responsible Disclosure Programms?

Zeitkritische Kennzahlen / KPIs

Wichtig ist, dass KPIs entwickelt werden, die einfach zu messen sind, nichtdestotrotz aber aussagekräftig genug sind. Diese Kennzahlen sollten auch dazu genutzt werden können, Prozesse zu verbessern.

Selbstverständlich müssen wir die Messgrössen für den zeitkritischen Erfolg festlegen. Mindestens 3 der unten aufgeführten Kennzahlen sind in der Industrie Standard — manchmal auch in leicht abgeänderter Form.

  • Die durchschnittlich benötigte Zeit bis zur Triage nach Eingang der Meldung über eine gefundene Sicherheitslücke
  • Die durchschnittlich benötigte Zeit bis zur Überprüfung von Risiko und Prioritisierung der gemeldeten Schwachstelle
  • Die durchschnittlich benötigte Zeit bis eine Lösung zur Eliminierung der Schwachstelle gefunden ist
  • Die durchschnittlich benötigte Zeit bis die Veranwortlichen die ausgearbeitete Lösung einspielen und testen konnten

Bereiten Sie sich darauf vor, innerhalb von 270 Tagen nach der Veröffentlichung formale Messwerte zu melden. Wir empfehlen die Durchschnittswerte für die oben genannten Kennzahlen, sowie die Kennzahlen zu Auswirkungen, Risikominderung und Abdeckung der Vermögenswerte.

Es gibt weitere KPIs, die die Effektivität eines VDP messen können. Diese weisen auch auf die Effizienz des gesamten Risk Management Prozesses in Ihrem Unternehmen hin.

Wir empfehlen, die folgenden 6 geschäftsrelevanten KPIs bei der Beurteilung Ihres Vulnerability Disclosure Programms heranzuziehen.

Diese sind besonders easy-to-use, denn bei allen ist klar: Je höher die Kennzahl, desto höher ist das Risiko, dass ein Schadensfall eintritt.

Geschäftsrelevante Kennzahlen | KPIs

  1. Zeit bis zur Schadensbegrenzung
    Die durchschnittliche Zeit, die benötigt wird, um einen Hackerangriff zu entschärfen. Nachdem eine Schwachstelle entdeckt wurde, muss das Problem irgendwie behoben werden. Geht das nicht auf Anhieb, muss fürs Erste zumindest das mögliche Risiko weitestgehend minimiert werden (z.B. auch mittels der Notlösung: Server vom Netz nehmen).

  2. Zeit bis zur Lösung für eine IT-Schwachstelle
    Die durchschnittliche Zeit, die benötigt wird, um eine Schwachstelle zu beheben. Dauert es länger, verschärfen sich die Risikoparameter, und Hacker bekommen mehr Zeit, sich auf Ihre Kosten zu vergnügen…

  3. Zeit bis zur Einspielung eines Patches, Aufhebung einer Miskonfiguration und Testung
    Die durchschnittliche Zeit, die benötigt wird, um eine unbekannte oder unentdeckte Sicherheitslücke vollumfänglich zu beheben. Mit eingeschlossen ist hier die Hilfe von externen Anbietern (wenn beispielsweise Microsoft oder Oracle einen Patch liefern müssen) und die Testung, ob die Sicherheitslücke damit tatsächlich geschlossen wurde.

  4. Anzahl der offenen Hochrisiko-Schwachstellen (High-Risk Vulnerabilities, Priority 1)
    High-Risk Vulnerabilities sind leider keine Seltenheit. Eine Liste dieser hilft Ihnen zudem, Sicherheitslücken im Auge zu behalten, die ein hohes Risiko darstellen und für die noch kein Patch gefunden wurde. Wenn Sie sie aus den Augen verlieren, vergessen oder einfach ignorieren, könnten sie sich eines Tages in einen wahren Alptraum verwandeln…

  5. Anzahl der Sicherheitslücken, die nicht eliminiert wurden
    Die Anzahl der Schwachstellen, die aus irgendeinem Grund noch nicht behoben wurden, muss ebenfalls im Auge behalten werden, auch wenn diese nicht höchste Priorität haben. Prüfen Sie regelmässig, dass die Anzahl nicht steigt, um zukünftige Risiken zu minimieren. Denn: Je höher die Rate der nicht eliminierten Schwachstellen, desto grösser das Risiko, dass weitere Ressourcen gefährdet werden…

  6. Die Rate der wieder auftretenden Schwachstellen
    Ein guter Messwert, um die Effektivität des Lösungsmanagement zu prüfen. Wenn Fehler bereits behoben wurden, sich aber immer wieder erneut auftun, bedeutet das, dass die Lösungsprozesse nicht funktionieren.

Brauchen wir eine VDP-Pflicht?

Die verbindliche operative Richtlinie in den USA wurde im September 2020 veröffentlicht. Sie schreibt vor, dass alle Federal Civilian Executive Branch (FCEB) Verwaltungen in den USA eine Richtlinie zur Offenlegung von Schwachstellen entwickeln und veröffentlichen müssen.

Die Plattform für Vulnerability Disclosure Programme wurde im Juli 2021 lanciert.

Was denken Sie? Sollten wir wie in anderen Ländern eine VDP-Pflicht einführen?

Beitrag teilen

17 Antworten

  1. Exzellente und umfassendes Aufarbeitung des Thema Vulnerability Disclosure Programme. Sehr viel Hintergrundinformationen und detailliert strukturierte Beschreibung.
    Der ganze Artikel ist sehr verständlich geschrieben und mit vielen Beispielen versehen.

    1. Lieber Gerhard

      Danke für Deine netten Worte.
      Ja wir haben uns sehr viel Mühe gegeben den Beitrag gut zu strukturieren und dies auch noch mit Tipps sowie Fakten versehen, die bei der Einführung eines VDP helfen sollten.

      Ich finde Vulnerability Disclosure Programme sind wichtig denn sonst müssen wir ja gegen Leute die uns über eine Schwachstelle informieren Anzeige erstatten wie z.B.:

      👉 in DE gemäss dem Hackerparagraph Deutschland § 202c StGB – Vorbereiten des Ausspähens und Abfangens von Daten

      Da hilft nur ein Vulnerability Disclosure Program die IT-Sicherheitslücken oder Schwachstellen aufzufinden ohne den Melder gleich anzuzeigen.

      📌 PS. In Österreich siehe 118a Strafgesetzbuch (StGB) sowie 126a – 126c Strafgesetzbuch (StGB) wird ein ethischer Hacker, White Hacker oder Black Hacker strafrechtlich verfolgt. Da hilft nur ein „Gentleman Agreement“ wie z.B. ein Vulnerability Disclosure Program

  2. Lieber Urs
    Excellente Aufbereitung !
    Ohne ein Vulnerability Disclosure System – VDP oder Schwachstellen Reporting wird es schwierig IT-Sicherheitsanforderungen zu erfüllen. Compliance, DSGVO, usw.

    1. Lieber Robert
      Danke für das Feedback.

      Kürzlich behauptete Kaspersky in einer Studie vom 25.8.21 das der Cyberschutz des Schweizer Gesundheitssystems lückenhaft sei.

      Interessante Findings sind:

      📌- Fast 40% der CH UmfrageteilnehmerInnen gaben an während der Pandemie eine Attacke erlebt zu haben (DE 25%, AT 26%).

      📌 – 2 von 3 Befragten glauben, dass ihnen die interne IT-Expertise fehlt, um das eigene Unternehmen vollumfänglich zu schützen.

      📌 – 1 von 2 finden, das Budget für die IT-Sicherheit für die nächsten zwei Jahre reiche nicht aus.

      Die grösste Bedrohung sehen die Umfrageteilnehmer aus der Gesundheitsbranche im Verlust von Patienten- und Unternehmensdaten.

      Packen wir es an!

      1. PS. Die Methodik der Kaspersky Studie (siehe oben) basiert auf ca 100 Fragebögen in jedem der 3 Länder. Die Studie ist also nur ein Puls und NICHT räpresentativ.

        📌 „Methodologie:📌
        Die Umfrage wurde von Arlington Research im Auftrag von Kaspersky im Mai 2021 durchgeführt. Dabei wurden 150 IT-Entscheidungsträger aus der Gesundheitsbranche in Deutschland sowie jeweils 100 in Österreich und in der Schweiz befragt – insgesamt also 350 Befragte in der Region DACH. “

        Wir wissen nicht, welche Fachkräfte den Online Fragebogen beantwortet haben.

        SIEHE mehr zur Problematik von aussagekräftigen Studien/Daten

        👉 Gattiker, Urs E., Babuzki, Johanna Anna & Sinistra, Patrizia (Januar 2021). Aus den richtigen Daten die besseren Entscheidungen treffen. Deutscher Marketing Verband, White Paper vom Competence Circle Technologie, Innovation & Management – #ccTIM, 20 Seiten. 👈

  3. Lieber Urs
    Solide, klare und vollständige Guideline für Vulnerability Disclosure Programme. Ein Must für jedes Unternehmen!
    Sehr viele und strukturierte Hintergrundinformationen.
    Tipps.

    1. Dear Quentin
      Danke für das Feedback

      Etwas was man dabei auch vergisst ist die Corporate Communication, d.h. Transparenz.
      Cyberkriminelle haben am Donnerstag den 12. August 2021 die Pallas-Klinik-Gruppe angegriffen, die auf Augen- und Schönheitsoperationen spezialisiert ist. Dabei hiess es auf deren Website dann nur:

      👉 „Wir sind aktuell nur telefonisch erreichbar. Wir danken für Ihr Verständnis und bitten um Entschuldigung“ 👈

      Erst 4 Tage später wurde die Presse informiert mit Informationen das keine Patientendaten gestohlen worden waren. Was hier stutzig macht ist der Fakt, dass Mitarbeitende der Klinik nicht auf die Patientendaten zugreifen konnten, da diese verschlüsselt worden waren.

      Jedem der was von Ransomware versteht ist klar, dass die Erpresser die Daten vorher geklaut haben und diese auf den Servern der Kliniken verschlüsselt wurden.

      Cyberkriminelle haben am 12. August die Pallas-Klinik-Gruppe angegriffen, die auf Augen- und Schönheitsoperationen spezialisiert ist.

      Die Medienmitteilung der Pallas Kliniken hier als PDF.

      Obwohl die Klinik in einem auf der Website versteckten Medienmitteilung schreibt, alles sei in Ordnung…. ist unklar ob eine Lösegeldsumme bezahlt wurde.

      📌 Was wir daraus lernen 📌

      👉 1. Kommuniziere offen und transparent auf einer Website welche separat gehostet wird sodass diese Infos auch beim Shut-Down eingesehen werden können.

      👉 2. Kommuniziere schnell, ausführlich und ehrlich um die Reputation zu schützen, da das Unternehmen ansonsten Trust / Vertrauen bei seinen Kunden verliert

      Gesundheitsdaten sind sensible und private Daten die besonders gut geschützt werden müssen. Die Pallas Kliniken brauchen definitiv ein Vulnerability Disclosure Programm!

  4. Lieber Urs,

    Die Einführung eines VDP ist ein Must Have für jedes Unternehmen, denn Sicherheitslücken werden immer wieder entstehen, insbesondere weil immer mehr Unternehmen ihre Organisationen durch digitale Prozesse führen.

    Die Menge an Daten verdoppelt sich in Corporates in rasanter Geschwindigkeit.
    Das größte Risiko entsteht, wenn Sicherheitslücken tausende Unternehmen zu Hacking-Opfern machen.

    Ein sehr strukturierter Blogartikel, der sich besonders gut liest. Habe ich gleich bei uns im Unternehmen geteilt.

    „Daumen doppelt hoch“, Taina Temmen

    1. Liebe Taina

      Vielen Dank für Deinen Input und das Teilen im Betrieb.
      Ueber das Wochenende las ich ein Interview mit ❗️ Maya Bundt von Swiss Re ❗️zum Thema Cyber-Risk wo sie einige interessante Sachen erwähnte wie z.B.

      📌 „Statistiken sagen, dass Unternehmen nach einem Angriff rund drei Wochen brauchen, bis sie wieder vollständig produktiv sind. Wie viel der Ausfall der IT-Systeme kostet, kann man also ausrechnen.

      Hinzu kommt der Aufwand für die Bewältigung des Vorfalls: IT-Forensik, Wiederherstellung der Daten und der Systeme.“ 📌

      „Die Versicherungen reagieren auf die steigenden Kosten, die aus den Cyberangriffen entstehen….
      Global betrachtet geht es um 👉 Prämienerhöhungen von 30 bis 40% in diesem Jahr…👈 “

      Das Interview mit Maya Bundt, Verantwortlich für Cyber and Digital Solutions bei Swiss Re und Leiterin Cyber-Risk des Versicherungsverbandes.

      Ebenfalls weist sie darauf hin: 👉 „Geht es so weiter, besteht die Gefahr, dass die (Cyber-Risk, Cybersecurity) Versicherungen so teuer werden, dass sie sich niemand mehr leisten kann.“ 👈

  5. Spionage-Roman? Apple empfahl ein System Update…

    Apple Produkte mit dem hauseigenem Betriebssystemwaren waren einmal sicherer als diejenigen mit Windows Operating System. Seit März 2021 wurde jedoch bemerkt, dass sie mit der Spionagesoftware Pegasus gehackt worden waren.

    Ein Gerät mit dieser Spionagesoftware zu überwachen, kostet ca. US$ 25,000 im Jahr! Es muss sich also lohnen. Bisher ist nicht bekannt, wer die Auftraggeber waren. Fakt ist: Diese spannende News-Story von Citizen Lab liest sich wie ein Spionage-Roman:

    Spionagebericht von Citizen Lab hier einsehen – anklicken!

  6. Hallo

    Danke für diesen Beitrag. Viele Tipps. Wir machen gerade ein Vulnerability Disclosure Programm in unserem Unternehmen und haben die Vorschläge gleich mal als Checkliste genutzt.

    Da lässt sich was machen mit diesem Material.

    Danke

    1. Lieber HiBucks
      Danke für den Kommentar. Freut uns immer sehr wenn Leute in Betrieben unsere Vorschläge gleich nutzen können, um Probleme in der Datensicherheit oder z.B. im Anti-Ransomware Bereich zu verbessern.

      Eliminierung der Schwachstellen, also Vulnerabilities ist ein zentraler Schritt um Kundendaten besser schützen zu können.

      Grüessli
      Urs
      DrKPI

Überblick

Erhalten Sie jetzt unseren Newsletter!