{"id":24004,"date":"2020-05-19T12:38:39","date_gmt":"2020-05-19T10:38:39","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=24004"},"modified":"2020-10-01T13:58:14","modified_gmt":"2020-10-01T11:58:14","slug":"vulnerability-disclosure-ethics","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/vulnerability-disclosure-ethics\/24004\/","title":{"rendered":"Ethische Grunds\u00e4tze f\u00fcr die Offenlegung von Schwachstellen"},"content":{"rendered":"

Fehler und Schwachstellen sind bei der Entwicklung komplexer IT-Systeme, Software oder Hardware fast unvermeidlich. Diese Fehler werden h\u00e4ufig nicht von Mitarbeitern und technischen Experten des Unternehmens selbst, sondern von externen Forschern festgestellt. Die Beseitigung dieser Fehler und potenzieller Schwachstellen ist der Schl\u00fcssel zu einer starken Cybersicherheit. Dabei ist der Faktor Mensch nicht nur die Hauptursache f\u00fcr Fehler, sondern gleichzeitig auch ein Schl\u00fcsselfaktor f\u00fcr deren rechtzeitige Erkennung und Korrektur. Dennoch ist es wichtig zu wissen, dass dieser Prozess der Fehlerbehebung m\u00f6glicherweise neue Risiken und Fehler verursachen kann, anstatt das Problem zu l\u00f6sen.<\/p>\n

Wir bei Kaspersky halten uns an klare und transparente ethische Grunds\u00e4tze bei der verantwortungsvollen Offenlegung von Sicherheitsl\u00fccken (Responsible Vulnerability Disclosure; RVD). Diese 5 Grunds\u00e4tze beruhen auf unserer mehr als 23-j\u00e4hrigen weltweiten Berufserfahrung; dar\u00fcber hinaus lassen wir uns weiterhin von einigen Best Practices und insbesondere vom Ethikkodex<\/a> des Forum of Incident Response and Security Teams (FIRST) inspirieren. In jedem Fall legen wir gr\u00f6\u00dften Wert auf die Sicherheit unserer Benutzer (die Personen und Unternehmen, die Kaspersky-Produkte und -L\u00f6sungen verwenden).<\/p>\n

Gleichzeitig respektieren wir die Interessen aller Beteiligten: der Personen oder Unternehmen, deren Produkt eine Schwachstelle aufweist, ihrer Kunden (als m\u00f6gliche Opfer) und der Cybersicherheitsbranche als Ganzes.<\/p>\n

Durch die Ber\u00fccksichtigung dieser Grunds\u00e4tze, wird gew\u00e4hrleistet, dass wir auf transparente<\/a>, verantwortungsbewusste und konsistente Art und Weise handeln, um ein sichereres Informations- und Kommunikationstechnologie-\u00d6kosystem (IKT) aufzubauen. Damit ein solcher Ansatz in der gesamten IT-Branche funktionieren kann, m\u00fcssen jedoch auch andere Anbieter \u2013 sowie ihre Benutzer, unabh\u00e4ngige Forscher, Aufsichtsbeh\u00f6rden und andere interessierte Parteien \u2013 \u00e4hnliche Beweggr\u00fcnde als Leitfaden nutzen. Aus diesem Grund haben wir beschlossen, unsere Grunds\u00e4tze f\u00fcr die verantwortungsvolle Offenlegung von Schwachstellen in der Software anderer Unternehmen zu ver\u00f6ffentlichen.<\/p>\n

\"\"<\/p>\n

Grundsatz #1: Vertrauen aufbauen<\/h2>\n

Ein gewisses Ma\u00df an Misstrauen ist die Grundlage der Informationssicherheit. Dennoch kann die Offenlegung von Schwachstellen ohne Vertrauen nicht funktionieren; wir gehen daher von den guten Absichten als Motiv aller Parteien aus, obwohl wir uns nat\u00fcrlich die Zeit und M\u00fche nehmen, Ma\u00dfnahmen zu koordinieren und den Schaden von Sicherheitsl\u00fccken zu verringern \u2013 Vertrauen ist gut, dennoch kann ein gewisses Ma\u00df an Kontrolle nicht schaden. Wir ver\u00f6ffentlichen keine Informationen \u00fcber Schwachstellen aus Spa\u00df, sondern lediglich im Interesse unserer Kunden und zur Gew\u00e4hrleistung der Sicherheit der Nutzer und Gesellschaft.<\/p>\n

Grundsatz #2: Informieren Sie die betroffene Partei zuerst<\/h2>\n

Die Offenlegung von Schwachstellen ist ein komplexer Prozess, bei dem man auf zahlreiche Hindernisse sto\u00dfen kann. Dazu geh\u00f6ren beispielsweise nicht erreichbare Beteiligte oder Beteiligte, die schlichtweg unempf\u00e4nglich f\u00fcr das sind, was Sie ihnen zu sagen haben. Trotz dieser Probleme ist die Bereitstellung zeitnaher und pr\u00e4ziser Informationen f\u00fcr betroffene Anbieter von entscheidender Bedeutung. Aus diesem Grund unternehmen wir zun\u00e4chst gemeinsam die Anstrengungen, die Schwachstelle zu beseitigen, um so das Benutzerrisiko zu minimieren. Im Gegenzug muss der Anbieter eine klare und transparente M\u00f6glichkeit bieten, Informationen \u00fcber Schwachstellen zu melden und zu verarbeiten (hier<\/a> und hier<\/a> erfahren Sie mehr dar\u00fcber, wie dies bei Kaspersky funktioniert).<\/p>\n

Grundsatz #3: Bem\u00fchungen koordinieren<\/h2>\n

Jede Schwachstelle ist einzigartig. Einige bedrohen Benutzer eines einzelnen Produkts, andere wiederrum k\u00f6nnen mehrere Parteien betreffen (zum Beispiel F\u00e4lle, in denen internationale Unternehmen mit komplexen Supply Chains beteiligt sind). Schwachstellen k\u00f6nnen sich zudem auf kritische Infrastrukturen und Netzwerke des \u00f6ffentlichen Sektors auswirken und somit die nationale Sicherheit gef\u00e4hrden. Dennoch sind Forscher und Anbieter nicht die einzigen relevanten Parteien; Regulierungsbeh\u00f6rden, Kunden, unabh\u00e4ngige Forscher und White-Hat-Hacker k\u00f6nnen ebenfalls beteiligt sein. F\u00fcr eine effektive Koordination zwischen allen Beteiligten orientieren wir uns an internationalen, bew\u00e4hrten Verfahren (z. B. dem ISO\/IEC 29147:2018-Standard<\/a> f\u00fcr die Offenlegung von Schwachstellen). Vor allem versuchen wir, allen Teilnehmern ausreichend Zeit f\u00fcr eine gr\u00fcndliche Schwachstellenanalyse und die Erstellung eines angemessenen Ma\u00dfnahmen-Konzepts zu geben.<\/p>\n

Grundsatz #4: Gegebenenfalls Vertraulichkeit bewahren<\/h2>\n

Wenn technische Informationen \u00fcber eine Schwachstelle zu fr\u00fch preisgegeben werden, k\u00f6nnen Angreifer dies zu ihren Gunsten nutzen. Aus diesem Grund geben wir Informationen vertraulich an Parteien weiter, die dann f\u00fcr die entsprechenden Schutzma\u00dfnahmen sorgen, und \u00fcber vertrauensw\u00fcrdige und sichere Kommunikationskan\u00e4le an der Berichterstattung arbeiten. Aus demselben Grund verhandeln wir mit dem Anbieter \u00fcber spezifische Bedingungen zur Offenlegung. Wenn ein Anbieter jedoch je nach Schweregrad und Ausma\u00df der Sicherheitsl\u00fccke und des Risikos f\u00fcr den Nutzer nicht zeitnah antwortet, erfolgt die Offenlegung \u00fcber unsere eigenen Kommunikationskan\u00e4le und gem\u00e4\u00df unseren internen Richtlinien, lokalen Vorschriften und bew\u00e4hrten Praktiken der Branche. Selbstverst\u00e4ndlich halten wir den Anbieter \u00fcber jeden unserer Schritte auf dem Laufenden.<\/p>\n

Grundsatz #5: Gew\u00fcnschtes Verhalten f\u00f6rdern<\/h2>\n

Trotz der Bem\u00fchungen der Branche finden und suchen Cyberkriminelle weiterhin nach Schwachstellen. Daher halten wir es f\u00fcr wichtig, all diejenigen zu unterst\u00fctzen, die verantwortungsbewusst \u00fcber Schwachstellen berichten und Best Practices f\u00fcr eine verantwortungsvolle Offenlegung von Schwachstellen befolgen.<\/p>\n

Offenlegung von Schwachstellen<\/h2>\n

Ich bin davon \u00fcberzeugt, dass, wenn alle Parteien an \u00e4hnlichen ethischen Grunds\u00e4tzen festhalten, wir gemeinsam daran arbeiten k\u00f6nnen, das IKT-\u00d6kosystem nicht nur sicherer, sondern auch ges\u00fcnder und vorhersehbarer zu machen.<\/p>\n

Sie k\u00f6nnen mehr \u00fcber unsere ethischen Grunds\u00e4tze f\u00fcr eine verantwortungsbewusste Offenlegung von Schwachstellen<\/a> auf der Website unserer globalen Transparenzinitiative<\/a> erfahren.<\/p>\n","protected":false},"excerpt":{"rendered":"

Um sicherzustellen, dass die Offenlegung von Schwachstellen nicht mehr Probleme verursacht als sie l\u00f6st, empfehlen wir diese einfachen Grunds\u00e4tze.<\/p>\n","protected":false},"author":2597,"featured_media":24006,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[3576,1498],"class_list":{"0":"post-24004","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-rvd","9":"tag-schwachstellen"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/vulnerability-disclosure-ethics\/24004\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/vulnerability-disclosure-ethics\/21319\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/vulnerability-disclosure-ethics\/16785\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/vulnerability-disclosure-ethics\/22348\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/vulnerability-disclosure-ethics\/20510\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/vulnerability-disclosure-ethics\/18812\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/vulnerability-disclosure-ethics\/22734\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/vulnerability-disclosure-ethics\/21759\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/vulnerability-disclosure-ethics\/28424\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/vulnerability-disclosure-ethics\/8338\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/vulnerability-disclosure-ethics\/35581\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/vulnerability-disclosure-ethics\/14915\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/vulnerability-disclosure-ethics\/15203\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/vulnerability-disclosure-ethics\/13472\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/vulnerability-disclosure-ethics\/11463\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/vulnerability-disclosure-ethics\/28401\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/vulnerability-disclosure-ethics\/25429\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/vulnerability-disclosure-ethics\/22319\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/vulnerability-disclosure-ethics\/27607\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/vulnerability-disclosure-ethics\/27440\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/schwachstellen\/","name":"Schwachstellen"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24004","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2597"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=24004"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24004\/revisions"}],"predecessor-version":[{"id":25287,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24004\/revisions\/25287"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/24006"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=24004"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=24004"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=24004"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}