Responsible Disclosure:
Verantwortungsvoll mit
Sicherheitslücken umgehen

Unsere IT-Sicherheitsexperten identifizieren im Rahmen ihrer Arbeit immer wieder unbekannte Schwachstellen in Softwareprodukten und gehen verantwortungsvoll mit diesem Wissen um. Mit Responsible Disclosure setzt die DGC auf einen in der Cyber Security etablierten Prozess: Hersteller werden bei dem zeitnahen Schließen von Schwachstellen unterstützt, Anwender des betroffenen Produkts sowie die Öffentlichkeit informiert – und Cyberangriffen auf Unternehmen gezielt entgegengewirkt.

Disclosure Policy: Unser Vorgehen im Detail

Um die Chancen des digitalen Wandels nachhaltig nutzbar zu machen und Risiken zu minimieren, ermittelt die DGC – auch ohne konkreten Auftrag – Schwachstellen in Softwareprodukten und Netzwerkumgebungen. Haben wir eine unbekannte Sicherheitslücke identifiziert, wird sie auf verantwortungsvolle Weise in diesem Bereich unserer Website veröffentlicht und unter Umständen im CVE-Verzeichnis für allgemein bekannte Schwachstellen eingetragen.

Unser Vorgehen orientiert sich an den koordinierten Leitlinien für die Offenlegung (Coordinated Vulnerability Disclosure Guidance) des nationalen Computer Emergency Response Teams, kurz CERT genannt:

Der Hersteller wird schriftlich über die entdeckte Schwachstelle informiert. Nachdem dieser eine Lösung bereitgestellt hat – bzw. 28 Tage nachdem er vertraulich auf die Sicherheitslücke aufmerksam gemacht wurde – veröffentlichet die DGC detaillierte Informationen. Die Zeitspanne kann erweitert werden, wenn der Hersteller eine schriftliche Erklärung hierfür abgibt und ein neuer Zeitpunkt für die verantwortungsvolle Veröffentlichung der Schwachstelle abgestimmt wird.

So werden wir unserem Anliegen, potenziell betroffenen Anwendern zu ihrem Schutz rechtzeitig und konsequent Hinweise zu geben, gerecht. Zugleich kommt es zu einem fairen Kompromiss zwischen öffentlichen Interessen und denen der Unternehmen.

Aktuelle Beiträge im Bereich
Responsible Disclosure

  • 12.05.2021

    PwnDoc – Incorrect Access Control

    “PwnDoc is a pentest reporting application making it simple and easy to write your findings and generate a customizable Docx report.The main goal is to have more time to Pwn and less time to Doc by mutualizing data like vulnerabilities between users.” – Official README.md We at the DGC wanted to streamline our documentation and reporting processes and decided to …

    Weiterlesen …

  • 28.04.2021

    LivingLogic XIST4C (CMS) – XSS Vulnerability

    LivingLogic XIST4C (CMS) before 0.107.8. allows XSS XIST4C is a content management system developed and distributed by LivingLogic. The software is also known by the name living apps.  Cross Site Scripting (Reflected) The security flaw exists because the software does not neutralize user input before it is placed in output that is used as a web …

    Weiterlesen …

Was ist Responsible Disclosure?

Wird eine Sicherheitslücke in Softwareprodukten entdeckt und verifiziert, gilt es im Sinne der allgemeinen Cyber Security zu handeln. Sicherheitsanalysten nutzen dafür standardmäßig das sogenannte Responsible Disclosure-Verfahren: Details zu einer Schwachstelle werden erst nach Ablauf einer festgelegten Frist veröffentlicht, innerhalb derer ein Hersteller das Problem selbst beheben darf. Gemeinhin sind das zwei Monate. Die Kommunikation mit dem Hersteller erfolgt in dieser Zeit verschlüsselt. Nach dem Schließen der Lücke werden im Idealfall gemeinsam eine detaillierte Schwachstellenanalyse sowie Empfehlungen zur Fehlerbehebung – etwa durch Updates – veröffentlicht.

Full Disclosure vs. Responsible Disclosure?

Anders als bei einem Responsible Disclosure werden unbekannte Sicherheitslücken, die von Cyberkriminellen missbraucht werden könnten, bei einem Full Disclosure umgehend veröffentlicht. Wer diesen Ansatz wählt, geht meist davon aus, dass die Gefahrenlage durch den öffentlichen Druck und drohenden Imageverlust schneller beseitigt wird.
Bei beiden Verfahren steht die Transparenz im Fokus: Unternehmen, Anwender und die Öffentlichkeit sollen informiert werden, damit sie sich auf Sicherheitslücken einstellen können – nur der Zeitpunkt der Veröffentlichung ist ein anderer.

Folgen Sie uns auf