Fehler und Schwachstellen sind bei der Entwicklung komplexer IT-Systeme, Software oder Hardware fast unvermeidlich. Diese Fehler werden häufig nicht von Mitarbeitern und technischen Experten des Unternehmens selbst, sondern von externen Forschern festgestellt. Die Beseitigung dieser Fehler und potenzieller Schwachstellen ist der Schlüssel zu einer starken Cybersicherheit. Dabei ist der Faktor Mensch nicht nur die Hauptursache für Fehler, sondern gleichzeitig auch ein Schlüsselfaktor für deren rechtzeitige Erkennung und Korrektur. Dennoch ist es wichtig zu wissen, dass dieser Prozess der Fehlerbehebung möglicherweise neue Risiken und Fehler verursachen kann, anstatt das Problem zu lösen.
Wir bei Kaspersky halten uns an klare und transparente ethische Grundsätze bei der verantwortungsvollen Offenlegung von Sicherheitslücken (Responsible Vulnerability Disclosure; RVD). Diese 5 Grundsätze beruhen auf unserer mehr als 23-jährigen weltweiten Berufserfahrung; darüber hinaus lassen wir uns weiterhin von einigen Best Practices und insbesondere vom Ethikkodex des Forum of Incident Response and Security Teams (FIRST) inspirieren. In jedem Fall legen wir größten Wert auf die Sicherheit unserer Benutzer (die Personen und Unternehmen, die Kaspersky-Produkte und -Lösungen verwenden).
Gleichzeitig respektieren wir die Interessen aller Beteiligten: der Personen oder Unternehmen, deren Produkt eine Schwachstelle aufweist, ihrer Kunden (als mögliche Opfer) und der Cybersicherheitsbranche als Ganzes.
Durch die Berücksichtigung dieser Grundsätze, wird gewährleistet, dass wir auf transparente, verantwortungsbewusste und konsistente Art und Weise handeln, um ein sichereres Informations- und Kommunikationstechnologie-Ökosystem (IKT) aufzubauen. Damit ein solcher Ansatz in der gesamten IT-Branche funktionieren kann, müssen jedoch auch andere Anbieter – sowie ihre Benutzer, unabhängige Forscher, Aufsichtsbehörden und andere interessierte Parteien – ähnliche Beweggründe als Leitfaden nutzen. Aus diesem Grund haben wir beschlossen, unsere Grundsätze für die verantwortungsvolle Offenlegung von Schwachstellen in der Software anderer Unternehmen zu veröffentlichen.
Grundsatz #1: Vertrauen aufbauen
Ein gewisses Maß an Misstrauen ist die Grundlage der Informationssicherheit. Dennoch kann die Offenlegung von Schwachstellen ohne Vertrauen nicht funktionieren; wir gehen daher von den guten Absichten als Motiv aller Parteien aus, obwohl wir uns natürlich die Zeit und Mühe nehmen, Maßnahmen zu koordinieren und den Schaden von Sicherheitslücken zu verringern – Vertrauen ist gut, dennoch kann ein gewisses Maß an Kontrolle nicht schaden. Wir veröffentlichen keine Informationen über Schwachstellen aus Spaß, sondern lediglich im Interesse unserer Kunden und zur Gewährleistung der Sicherheit der Nutzer und Gesellschaft.
Grundsatz #2: Informieren Sie die betroffene Partei zuerst
Die Offenlegung von Schwachstellen ist ein komplexer Prozess, bei dem man auf zahlreiche Hindernisse stoßen kann. Dazu gehören beispielsweise nicht erreichbare Beteiligte oder Beteiligte, die schlichtweg unempfänglich für das sind, was Sie ihnen zu sagen haben. Trotz dieser Probleme ist die Bereitstellung zeitnaher und präziser Informationen für betroffene Anbieter von entscheidender Bedeutung. Aus diesem Grund unternehmen wir zunächst gemeinsam die Anstrengungen, die Schwachstelle zu beseitigen, um so das Benutzerrisiko zu minimieren. Im Gegenzug muss der Anbieter eine klare und transparente Möglichkeit bieten, Informationen über Schwachstellen zu melden und zu verarbeiten (hier und hier erfahren Sie mehr darüber, wie dies bei Kaspersky funktioniert).
Grundsatz #3: Bemühungen koordinieren
Jede Schwachstelle ist einzigartig. Einige bedrohen Benutzer eines einzelnen Produkts, andere wiederrum können mehrere Parteien betreffen (zum Beispiel Fälle, in denen internationale Unternehmen mit komplexen Supply Chains beteiligt sind). Schwachstellen können sich zudem auf kritische Infrastrukturen und Netzwerke des öffentlichen Sektors auswirken und somit die nationale Sicherheit gefährden. Dennoch sind Forscher und Anbieter nicht die einzigen relevanten Parteien; Regulierungsbehörden, Kunden, unabhängige Forscher und White-Hat-Hacker können ebenfalls beteiligt sein. Für eine effektive Koordination zwischen allen Beteiligten orientieren wir uns an internationalen, bewährten Verfahren (z. B. dem ISO/IEC 29147:2018-Standard für die Offenlegung von Schwachstellen). Vor allem versuchen wir, allen Teilnehmern ausreichend Zeit für eine gründliche Schwachstellenanalyse und die Erstellung eines angemessenen Maßnahmen-Konzepts zu geben.
Grundsatz #4: Gegebenenfalls Vertraulichkeit bewahren
Wenn technische Informationen über eine Schwachstelle zu früh preisgegeben werden, können Angreifer dies zu ihren Gunsten nutzen. Aus diesem Grund geben wir Informationen vertraulich an Parteien weiter, die dann für die entsprechenden Schutzmaßnahmen sorgen, und über vertrauenswürdige und sichere Kommunikationskanäle an der Berichterstattung arbeiten. Aus demselben Grund verhandeln wir mit dem Anbieter über spezifische Bedingungen zur Offenlegung. Wenn ein Anbieter jedoch je nach Schweregrad und Ausmaß der Sicherheitslücke und des Risikos für den Nutzer nicht zeitnah antwortet, erfolgt die Offenlegung über unsere eigenen Kommunikationskanäle und gemäß unseren internen Richtlinien, lokalen Vorschriften und bewährten Praktiken der Branche. Selbstverständlich halten wir den Anbieter über jeden unserer Schritte auf dem Laufenden.
Grundsatz #5: Gewünschtes Verhalten fördern
Trotz der Bemühungen der Branche finden und suchen Cyberkriminelle weiterhin nach Schwachstellen. Daher halten wir es für wichtig, all diejenigen zu unterstützen, die verantwortungsbewusst über Schwachstellen berichten und Best Practices für eine verantwortungsvolle Offenlegung von Schwachstellen befolgen.
Offenlegung von Schwachstellen
Ich bin davon überzeugt, dass, wenn alle Parteien an ähnlichen ethischen Grundsätzen festhalten, wir gemeinsam daran arbeiten können, das IKT-Ökosystem nicht nur sicherer, sondern auch gesünder und vorhersehbarer zu machen.
Sie können mehr über unsere ethischen Grundsätze für eine verantwortungsbewusste Offenlegung von Schwachstellen auf der Website unserer globalen Transparenzinitiative erfahren.