Gemeinsam mit Disclose.io zu mehr Vertrauen

12 Jul 2019

Warum haben Sie sich für dieses und nicht für ein anderes Antivirenprogramm entschieden? Weil es günstiger war. Selbstverständlich weil Sie Ihrer Wahllösung mehr vertrauen. Und weshalb verbringen Sicherheitsforscher mehr zeit mit der Analyse dieser einen spezifischen App, aber nicht mit jener anderen? Weil Sie dem Unternehmen, das die erste Anwendung entwickelt hat mehr vertrauen. Nicht alle Unternehmen fassen Nachrichten über in ihren Produkten gefundene Schwachstellen positiv auf – einige von ihnen drohen den implizierten Forschern sogar damit legale Schritte gegen sie einzuleiten.

Ja, im Großen und Ganzen kann man davon ausgehen, dass es bei der Wahl eines bestimmten Produktes oder Unternehmens immer um Vertrauen geht. Ein einziger Fehltritt kann dabei ausreichen, um dieses Vertrauen zu zerstören; dieses Vertrauen jedoch überhaupt erst einmal zu gewinnen ist bedeutend schwieriger, als man glauben mag. Das Vertrauen ist wie ein Turm, der aus Tausenden von Ziegelsteinen besteht: das Entfernen eines einzigen Ziegels kann bereits dazu führen, dass der Turm einstürzt. Doch um den Turm zu bauen, muss mühsam und vorsichtig ein Ziegel auf den anderen gelegt werden – eine schwierige und vor allem zeitraubende Aufgabe.

Ein Safe Harbor für Sicherheitsforscher

Wir bei Kaspersky möchten, dass Sie, unsere Kunden und potenzielle Kunden uns vertrauen. Aus diesem Grund bauen wir unseren ganz persönlichen Turm mit viel Mühe und Geduld, Ziegelstein für Ziegelstein. Im Rahmen dieses „Bauprozesses“ haben bereits unsere Globale Transparenzinitiative ins Leben gerufen, mit der wir hoffentlicht die Transparenz unseres Unternehmens zusätzlich unterstreichen können. Darüber hinaus haben wir unsere Bug-Bounty-Prämien erhöht, und Jetzt freuen wir uns, Ihnen mitteilen zu können, dass wir uns dem Disclose.io-Projekt von Bugcrowd angeschlossen haben, um zu gewährleisten, dass wir diejenigen, die unsere Produkte nach Schwachstellen untersuchen, aus rechtlicher Sicht keinen Schaden zufügen.

Bugcrowd startete Disclose.io im August 2018 in Zusammenarbeit mit dem renommierten Sicherheitsforscher Amit Elazari, um einen klaren rechtlichen Rahmen für den Schutz von Organisationen und Forschern zu schaffen, die an Programmen zur Aufdeckung von Fehlern und Sicherheitslücken beteiligt sind. Im Grunde genommen bietet Disclose.io eine Reihe von Vereinbarungen zwischen Forschern und Unternehmen. Alle Unternehmen und auch Forscher, die sich Disclose.io angeschlossen haben, stimmen diesen Vereinbarungen zu. Die Vereinbarungen sind simpel, leicht zu lesen und zu verstehen und haben nichts mit herkömmlichen rechtlichten Vereinbarungen zu tun, die vor unzähligen Unterabschnitten und vor kleingedruckten Klauseln nur so wimmeln. Darüber hinaus stehen Ihnen die Kernbedingungen auf GitHub zur Verfügung – da Dokumente auf GitHub nicht modifiziert werden können, ohne dass die gesamte Community darüber informiert wird, trägt dies zu zusätzlicher Transparenz bei.

Die Vereinbarungen ermutigen Unternehmen darüber hinaus dazu, Sicherheitsforscher nicht für ihre Untersuchungen und Ergebnisse zu bestrafen, sondern mit ihnen zusammenzuarbeiten, um die Sicherheitslücke zu verstehen, diese zu patchen und den Beitrag der Forscher zur Sicherheits des jeweiligen Produkts anzuerkennen. Andererseits verlangen diese Vereinbarungen, dass Forscher verantwortungsbewusst mit den entdeckten Schwachstellen umgehen – d. h. sie dürfen keine Informationen veröffentlichen, bevor das Problem behoben ist, die Daten, auf die sie zugreifen, in keinster Weise missbrauchen, keine Geld von den Anbietern erpressen usw.

Um es kurz zu fassen, geht es Disclose.io im Wesentlichen darum, dass Unternehmen und Sicherheitsforscher gegenseitig voneinander profitieren können. Wir stimmen dieser Idee voll und ganz zu. Aus diesem Grund unterstützen wir die Disclose.io-Bewegung und bieten Sicherheitsforschern, die unsere Produkte auf Schwachstellen untersuchen möchten, einen sogenannten „Safe Harbor“.

Davon profitieren natürlich auch unsere Kunden. Je mehr sich die Sicherheits-Community mit einem Produkt oder einer Dienstleistung befasst, desto sicherer wird es. Und für Sicherheitslösungen ist es ein absolutes Muss, so sicher wie möglich zu sein.