Die Responsible Disclosure, oder auf Deutsch "Verantwortungsvolle Veröffentlichung", ist ein Prozess zur Veröffentlichung von Sicherheitslücken in einem System, Programm oder einem Produkt. Dabei werden dem betroffenen Entwicklerteam/Unternehmen alle Informationen betreffend einer Schwachstelle übermittelt und nach einer angemessenen Frist zur Behebung veröffentlicht. Damit tragt der Initiator dazu bei, die Welt jedes Mal ein wenig sicherer zu machen und so auch die Unternehmen in die Pflicht zu nehmen Cyber Security ernst zu nehmen.
Durch eine koordinierte Veröffentlichung hat das betroffene Unternehmen ausreichend Zeit sich mit dem Problem zu beschäftigen, dieses zu beheben und kann dadurch auch öffentlich ein klares Zeichen setzen, dass Cyber Security und die Daten der Kunden wichtig sind. Es ist somit als eine positive Sache anzusehen.
Zettasecure unterstützt diesen Weg und bezeichnet sich selbst als "White Hat Hacker" oder "Ethical Hacker". Wir sind der vollsten Überzeugung, dass jeder seinen Teil dazu beitragen kann. Bei Erkennung einer Schwachstelle, die in den falschen Händen einen Schaden anrichten kann, muss unserer Ansicht nach eine Meldung an das jeweilige Unternehmen erfolgen. Dadurch werden die jeweiligen Nutzer vor einem bösartigen Zugriff geschützt.
Schadet das nicht meinem Unternehmen?
Wir möchten gleich zu Beginn klarstellen, dass wir mit einer Responsible Disclosure keinem Unternehmen schaden. Im Gegenteil ist dieser Prozess als was gutes anzusehen. Das jeweilige Produkt wird sicherer, es gibt Referenzen auf ein Cyber Security Unternehmen (oftmals in unserem Blog) und man kann mit der richtigen Reaktion eine positive Außenwirkung erzeugen. Sie als Unternehmen befassen sich nämlich nachweißlich mit IT Security und können dies auch öffentlich belegen. Im besten Fall kann das in der Verpflichtenden DSGVO Dokumentation so niedergeschrieben werden und Sie sind für etwaige Rückfragen der Datenschutzbehörde gewappnet.
Für uns ist einzig und alleine ist immer die Reaktion des betroffenen Unternehmens relevant. Klagen, Drohungen und Erpressungsvorwürfe führen nicht zum Ziel und das eigentliche Gespräch über die gefundene Schwachstelle kommt zum Erliegen. Leider muss man dann oftmals in eine Full Disclosure übergehen. Genauere Infos was das ist, finden sich unterhalb.
Warum tut ihr das?
Wir suchen Schwachstellen im deutschsprachigen Raum um unsere Skills für die eigenen Kunden permanent zu trainieren, den DACH Raum sicherer zu machen und eine gewisse Awareness bei den betroffenen Unternehmen zu schaffen. Wir möchten somit keine Aufträge, Geld noch Ruhm für diese Entdeckungen. Sollte uns ein Unternehmen Geld anbieten, um eine Veröffentlichung zu verhindern, werden wir darauf nicht eingehen, da das nicht der Sinn von Cyber Security ist. Wir möchten ein sicheres Miteinander und unbedarfte Menschen/Unternehmen vor großem Schaden bewahren. Transparenz ist hierbei ein wichtiger Punkt den wir verfolgen.
Wie ist der genaue Prozess?
Eine Responsible Disclosure hat einen klar definierten Prozess. Diesen werden wir genauso übernehmen. Unser Prozess ist an das Project Zero von Google angelehnt, kann aber von Schwachstelle zu Schwachstelle variieren, da es auf die Komplexität und die Reaktion des betroffenen Unternehmens, sowie die aktuelle Jahreszeit, ankommt. Allgemein gilt aber folgendes:
90+30 Regel bei Produkten, die Updates bereitstellen müssen:
Generell hat ein Unternehmen 90 Tage Zeit um eine Schwachstelle in deren Produkt zu beheben. Nach weiteren 30 Tagen wird die Information über die Schwachstelle veröffentlicht (120 Tage nach Meldung). Der Start der Frist ist immer mit der eingehenden Information von Zettasecure zu betrachten. Wenn sich binnen 72 Stunden das Unternehmen nicht mit einer Bestätigung über den Erhalt meldet, wird erneut eine Nachricht gesendet. Bei keiner Reaktion binnen weiteren 7 Tagen wird erneut ein Kontaktversuch unternommen. Sollte nach insgesamt 30 Tagen keine Rückmeldung erfolgen wird in eine Full Disclosure übergegangen um die Masse davor zu warnen.
30+5 Regel bei Web Entwicklungen ohne Updates der User:
Bei Entwicklungen die rein Online gehostet sind und kein Update aufseiten der Clients verteilt werden muss, wird die Veröffentlichungszeit nach einem Patch und die allgemeine Durchlaufzeit reduziert. Der Grund dafür liegt auf der Hand. Daten sind gefährdet und man muss hierbei schneller handeln. Die Veröffentlichung erfolgt von uns somit nach 35 Tagen. 30 Tage bis zum Patch und 5 Tage Leerlaufzeit.
Allgemein gilt noch zu erwähnen dass wir diese Fristen sehr flexibel setzen und auch gerne weit verlängern, wenn wir merken, dass das betroffene Unternehmen einfach Zeit in der Behebung braucht. Wie bereits beschrieben möchten wir keinem einen Schaden zufügen und ein sicheres Internet schaffen. Uns unterscheidet somit die Flexibilität von anderen Programmen.
Full Disclosure
In einigen Fällen muss die Zettasecure GMBH zu einer Full Disclosure greifen um das betroffene Unternehmen zum Handeln zu zwingen. Das kann folgende Gründe haben:
- Ein Unternehmen reagiert nach mehrmaliger Rückfrage nicht auf unsere Bedenken.
- Die Schwachstelle ist nach dem Zeitablauf der gesetzten Frist nicht behoben.
- Die Zettasecure GMBH merkt kein Vorankommen und keinen guten Willen des betroffenen Unternehmens.
- Das Problem wird nicht ernst genommen und klein geredet.
Dies ist die letzte Möglichkeit öffentlichen Druck auf das Unternehmen auszuüben und wird nur umgesetzt wenn eines der oben genannten Probleme zutrifft.
Im Zuge der Full Disclosure werden nur Informationen veröffentlicht, die das betroffene Unternehmen zum Handeln zwingt, jedoch ist die Schwachstelle dabei leider noch nicht behoben. Mögliche Kundendaten, oder Daten, die andere Personen und Unternehmen schaden könnten, werden geschwärzt.
Was schreibt Ihr in euren Blog oder auf anderen Seiten?
Wir bei Zettasecure dokumentieren den Ablauf in der Kommunikation mit den Unternehmen sehr genau, um etwaige Rechtsansprüche schon im vorhinein abzuwehren. Zusätzlich dazu ziehen wir in der Kommunikation bei jeder Mail einen anwaltlichen Rat hinzu. Diese Dokumentation findet sich dann auch im Blog wieder. Meist besteht der Beitrag zu Beginn aus einer reißerischen Überschrift und einem Untertitel aus den Erfahrungen in der Kommunikation mit dem Unternehmen, sowie einer kleinen Zusammenfassung. Bei einer positiven Reaktion wird das somit auch so erwähnt und bei einer negativen ebenfalls. Danach folgt eine Übersicht der Schwachstelle und der Auswirkung. Weiters wird tiefer auf das Problem eingegangen und Beispiele werden dargelegt. Dahingehend werden die Persönlichkeitsrechte der betroffenen User gewahrt. Es kommt nur zu beispielhaften Veröffentlichungen und alle kritischen Dokumente werden geschwärzt.
Bei noch aktiven Schwachstellen wird nur ein Teil der Schwachstelle und der Impact geteilt. Wir werden niemals einen funktionierenden PoC hosten und so jedem Angreifer einen Eintritt in das betroffene Unternehmen gewähren. Wie gesagt wollen wir auf Schwachstellen aufmerksam machen und Ihnen als Unternehmen nicht schaden. Im Abschluss veröffentlichen wir eine Zeitachse mit allen Aktionen, Mails und Gesprächen um vollständige Transparenz zu gewährleisten.
Gerne sprechen wir mit Ihnen die Veröffentlichung im vorhinein ab und Sie können Formulierungen, sowie Sätze nach Ihren belieben ändern. Das kommt aber immer auf die Zusammenarbeit und Reaktion der jeweiligen Unternehmen an. Der Grundgedanke darf sich dabei aber nicht zu sehr ändern.
Ich möchte nicht, dass mein Unternehmen genannt wird. Geht das?
Leider nein. In der Veröffentlichung werden sich nach Möglichkeit alle betroffenen Unternehmen, sowie Ihr Unternehmensname mit Verweis darauf befinden. Auch Sie würden gerne wissen wollen, wenn eine Schwachstelle Ihre eigenen Daten gefährdet oder gefährdet hat.
Habt ihr keine Angst vor etwaigen Klagen?
Rechtliche Schritte von Unternehmen oder Privatpersonen gegen die Zettasecure GMBH sind nie angenehm und gehören so gut wie möglich verhindert. Deswegen sind wir immer für einen Diskurs offen und stehen jederzeit für Rückfragen bereit. Dennoch ziehen wir bei einer Responsible Disclosure immer eine anwaltliche Hilfe zu Rate und halten uns an alle aktuell geltenden Regeln und Gesetze. Da wir nichts unrechtes tun und uns an die gelebte Praxis halten, haben wir keine Sorge eine Klage zu verlieren. Sollte ein betroffenes Unternehmen der Meinung sein die Zettasecure GMBH verklagen zu müssen, dann steht es diesem vollkommen frei. Wir werden uns nicht vor solchen Äußerungen einschüchtern lassen und werden in unserem Tun bestärkt die Welt sicherer zu machen.