Respon­sible Dis­closure:
Ver­antwort­ungs­voll mit
Sicher­heits­lücken umgehen

Unsere IT-Sicherheitsexperten identifizieren im Rahmen ihrer Arbeit immer wieder unbekannte Schwachstellen (sog. „Zero-Day“ oder aber „0-Day“) oder aber schon bekannte Schwachstellen und Fehlkonfigurationen in Softwareprodukten, Netzwerkumgebungen und direkt im Internet. Dabei gehen unsere Experten sehr verantwortungsvoll mit diesem Wissen um. Mit Responsible Disclosure setzt die DGC AG hier auf einen in der Cyber Security Welt etablierten Prozess: Hersteller oder Betreiber werden zeitnah über das Vorhandensein einer Schwachstelle informiert sowie mit gezielten Informationen zum Schließen dieser unterstützt. Anschließend werden Anwender des betroffenen Produkts oder Dienstes sowie die Öffentlichkeit informiert.

Disclosure Policy: Unser Vorgehen im Detail

  • Um die Chancen des digitalen Wandels nachhaltig nutzbar zu machen und Risiken zu minimieren, ermittelt die DGC AG – auch ohne konkreten Auftrag – Schwachstellen in Softwareprodukten, Netzwerkumgebungen oder aber direkt im Internet
  • Haben wir eine bekannte oder neue Sicherheitslücke oder gar eine Fehlkonfiguration identifiziert, wird der Hersteller/Anbieter schriftlich über die entdeckte Schwachstelle und die nötigen Details informiert und somit aktiv beim Schließen dieser Lücke kostenlos unterstützt.
  • Nachdem der Hersteller/Anbieter eine Lösung bereitgestellt hat, die Lücke geschlossen wurde, oder aber spätestens 28 Tage nachdem er vertraulich auf die Schwachstelle aufmerksam gemacht wurde, veröffentlicht die DGC AG detaillierte Informationen an dieser Stelle unserer Website. 
  • Darüber hinaus tragen wir die Schwachstelle im CVE-Verzeichnis für allgemein bekannte Schwachstellen ein. Zusätzlich informieren wir hierzu die Allgemeinheit in einschlägigen Medien. Die Zeitspanne kann erweitert werden, wenn der Hersteller/Anbieter eine schriftliche Erklärung hierfür abgibt und ein neuer Zeitpunkt für die verantwortungsvolle Veröffentlichung der Schwachstelle abgestimmt wird.

Unser Vorgehen orientiert sich an den koordinierten Leitlinien für die Offenlegung (Coordinated Vulnerability Disclosure Guidance) des nationalen Computer Emergency Response Teams, kurz CERT genannt. So werden wir unserem Anliegen, potenziell betroffenen Anwendern zu ihrem Schutz rechtzeitig und konsequent Hinweise zu geben, gerecht. Zugleich kommt es zu einem fairen Kompromiss zwischen öffentlichen Interessen und denen der Unternehmen.

Aktuelle Beiträge im Bereich
Responsible Disclosure

  • dgc-responsible-disclosure-cve-2021-31590
    12.05.2021

    PwnDoc – Incorrect Access Control

    “PwnDoc is a pentest reporting application making it simple and easy to write your findings and generate a customizable Docx report.The main goal is to have more time to Pwn and less time to Doc by mutualizing data like vulnerabilities between users.” – Official README.md We at the DGC wanted to streamline our documentation and reporting processes and decided to …

    Weiterlesen …

  • dgc-responsible-disclosure-cve-2021-26122
    28.04.2021

    LivingLogic XIST4C (CMS) – XSS Vulnerability

    LivingLogic XIST4C (CMS) before 0.107.8. allows XSS XIST4C is a content management system developed and distributed by LivingLogic. The software is also known by the name living apps.  Cross Site Scripting (Reflected) The security flaw exists because the software does not neutralize user input before it is placed in output that is used as a web …

    Weiterlesen …

Was ist Responsible Disclosure?

Wird eine Sicherheitslücke in Softwareprodukten entdeckt und verifiziert, gilt es im Sinne der allgemeinen Cyber Security zu handeln. Sicherheitsanalysten nutzen dafür standardmäßig das sogenannte Responsible Disclosure-Verfahren: Details zu einer Schwachstelle werden erst nach Ablauf einer festgelegten Frist veröffentlicht, innerhalb derer ein Hersteller das Problem selbst beheben darf. Gemeinhin sind das zwei Monate. Die Kommunikation mit dem Hersteller erfolgt in dieser Zeit verschlüsselt. Nach dem Schließen der Lücke werden im Idealfall gemeinsam eine detaillierte Schwachstellenanalyse sowie Empfehlungen zur Fehlerbehebung – etwa durch Updates – veröffentlicht.

Full Disclosure vs. Responsible Disclosure?

Anders als bei einem Responsible Disclosure werden unbekannte Sicherheitslücken, die von Cyberkriminellen missbraucht werden könnten, bei einem Full Disclosure umgehend veröffentlicht. Wer diesen Ansatz wählt, geht meist davon aus, dass die Gefahrenlage durch den öffentlichen Druck und drohenden Imageverlust schneller beseitigt wird.
Bei beiden Verfahren steht die Transparenz im Fokus: Unternehmen, Anwender und die Öffentlichkeit sollen informiert werden, damit sie sich auf Sicherheitslücken einstellen können – nur der Zeitpunkt der Veröffentlichung ist ein anderer.

Folgen Sie uns auf

Abonnieren Sie unseren Newsletter rund um das Thema Cybersicherheit

Mit unserem Cyberletter sind Sie stets topaktuell informiert – über Schwachstellenmeldungen, aktuelle IT-Bedrohungsszenarien sowie andere relevante Nachrichten aus dem Bereich Cyber Security und Datensicherheit

Mit der Anmeldung akzeptiere ich den Umgang mit meinen personenbezogenen Daten (§13 DSGVO) und stimme der Datenschutzerklärung zu.

Soforthilfe im IT-Notfall
24h Hotline
Wenn Sie einen IT-Sicherheitsvorfall bemerken, zögern Sie nicht.
Kontaktieren Sie unsere Spezialisten, um umgehend Hilfe zu erhalten.
Notfallnummer