Vom Helfer zum Angeklagten: Was du als IT-Sicherheitsverantwortlicher aus diesem Urteil lernen kannst

Ein IT-Experte meldet dem Unternehmen Modern Solution eine kritische Sicherheitslücke, die potenziell die Daten von 700.000 Kunden preisgeben könnte. 

Statt Dankbarkeit erfährt er jedoch die kalte Schulter und muss sich sogar vor Gericht verantworten. Diese Nachricht war kürzlich in den Schlagzeilen (1). 

Erstaunlicherweise dreht sich die Verhandlung im Amtsgericht Jülich um die Frage, ob ein einfaches Passwort überhaupt als wirksame Sicherheitsmaßnahme betrachtet werden kann. Als Sicherheitsexperte kann man darüber nur verblüfft sein. 

Was besonders befremdlich wirkt: Das Unternehmen, das den IT-Experten anzeigte, ist selbst in der IT-Branche tätig und bietet ein Warenwirtschaftssystem an. Man könnte meinen, dass gerade in diesem Sektor das Bewusstsein und Verständnis für IT-Sicherheit und den Umgang mit Schwachstellen gegeben sein sollte. Sollte nicht gerade ein solches Unternehmen dem Experten dankbar sein, statt ihn zu verklagen? Hier steht nicht nur das Thema Responsible Disclosure im Fokus, sondern auch die Frage, wie weit der sogenannte „Hackerparagraf“ §202c STGB reicht. 

Du willst lieber proaktiv mit gemeldeten Sicherheitslücken umgehen?  

Hier sind die Schritte, die du beachten solltest um sicherzustellen, dass gemeldete Sicherheitslücken effektiv und verantwortungsbewusst behandelt werden: 

  

1. Richtlinien für Responsible Disclosure erstellen: 

• Klare Definition, was als Sicherheitslücke angesehen wird. 

• Eindeutige Anweisungen darüber, wie Sicherheitsforscher Sicherheitslücken melden sollen. 
• Garantien, dass keine rechtlichen Schritte gegen Sicherheitsforscher eingeleitet werden, die in gutem Glauben handeln. 

2. Dedizierte Berichtsstelle einrichten: 

• Einen klar erkennbaren Abschnitt auf der Unternehmenswebsite mit Kontaktinformationen und Anweisungen für die Meldung von Sicherheitslücken. 
• Ein sicheres Formular oder eine spezielle E-Mail-Adresse (z.B. security@[unternehmensname].com) bereitstellen, um Meldungen zu empfangen. 

3. Schnelle Reaktionszeit gewährleisten: 

• Ein internes Team oder einen Ansprechpartner benennen, der die Meldungen bearbeitet und innerhalb eines vorher festgelegten Zeitrahmens reagiert. 
• Sicherheitsforschern Rückmeldung geben, ob und wann die gemeldete Sicherheitslücke behoben wird. 

4. Bug-Bounty-Programme erwägen: 

• Überlegen Sie, ob es sinnvoll ist, ein Bug-Bounty-Programm durch Plattformen wie HackerOne oder Bugcrowd zu starten, um Sicherheitsforscher finanziell für ihre Entdeckungen zu belohnen. 

5. Kommunikation und Transparenz: 

• Sicherheitsforscher über den Fortschritt der Behebung informieren. 
• Eventuell eine öffentliche Anerkennung für Sicherheitsforscher anbieten, die Sicherheitslücken gemeldet haben (sofern sie dies wünschen). 

6. Schulung und Bewusstsein für Cybersecurity schaffen: 

• Mitarbeiter über das Responsible Disclosure-Programm informieren und schulen. 

• Mitarbeiter über die Bedeutung von Cybersecurity aufklären und regelmäßige Schulungen zu Sicherheitsthemen anbieten. 

7. Technische Absicherung: 

• Sicherstellen, dass die Infrastruktur zur Meldung von Sicherheitslücken selbst sicher ist (z.B. Verwendung von HTTPS, regelmäßige Sicherheitsüberprüfungen der Meldungsplattform). 

8. Regelmäßige Überprüfung: 

• Die Richtlinien und Prozesse regelmäßig überprüfen und aktualisieren, um sicherzustellen, dass sie effektiv sind und dem aktuellen Stand der Technik entsprechen. 

9. Zusammenarbeit mit der Community: 

• Beziehungen zu Sicherheitsforschern und der breiteren Sicherheitsgemeinschaft pflegen.  

10. Dokumentation: 

• Alle gemeldeten Sicherheitslücken und die darauf folgenden Maßnahmen dokumentieren. Dies hilft bei der Überprüfung, Analyse und kontinuierlichen Verbesserung der Sicherheitsmaßnahmen.