Full disclosure: Unterschied zwischen den Versionen

Aktuelle Version vom 1. November 2024, 14:40 Uhr

Full disclosure - Beschreibung

Beschreibung

Finden unabhängige IT-Sicherheitsexperten Schwachstellen in Computerprogrammen, sogenannte Sicherheitslücken, gibt es für sie mehrere Möglichkeiten der Offenlegung. Full Disclosure bezeichnet die Praxis, sämtliche Informationen über die Sicherheitslücke sofort und ohne Absprache mit den verantwortlichen Stellen allgemein zugänglich zu veröffentlichen

Hierdurch werden Benutzer frühzeitig gewarnt; Hacker können allerdings die Schwachstelle potentiell ausnutzen, bevor diese durch den Hersteller geschlossen werden kann.^[1]

Ein alternativer Ansatz ist die Responsible Disclosure

Hierbei wird die Offenlegung mit dem Hersteller abgestimmt und die breite Öffentlichkeit erst informiert, sobald die Sicherheitslücke behoben wurde.^[2]

Ein Grund, warum sich der Entdecker der Schwachstelle für eine Full Disclosure entscheidet, könnte beispielsweise sein, dass der Hersteller auf den Hinweis nicht reagierte oder das Problem kleinredete

Indem der Hacker die Sicherheitslücke veröffentlicht, kann so Druck ausgeübt werden
Im Allgemeinen ist der Ansatz der Full Disclosure jedoch sehr umstritten und wird von vielen als unverantwortlich angesehen
Er sollte nur als letzter Ausweg genutzt werden, wenn andere Maßnahmen fehlschlugen oder Schadcode für die Schwachstelle bereits im Umlauf ist.^[3]

Um eine Full Disclosure zu verhindern, bieten viele Unternehmen sogenannte Bug-Bounty-Programme an.^[4] Hierbei werden Prämien für das Finden von Schwachstellen ausgelobt; so zahlte beispielsweise Facebook 1,98 Millionen und Google 6,7 Millionen US-Dollar im Jahr 2020 aus.^[5]^[6] Teilweise verpflichtet sich der Hacker im Gegenzug dazu, Stillschweigen über seine Funde zu bewahren, in diesem Fall spricht man dann von einer Private Disclosure.^[3]

Anhang

Siehe auch

Responsible Disclosure

Full disclosure

Links

Weblinks

https://de.wikipedia.org/wiki/Full_Disclosure_(IT-Sicherheit)

[1] ↑

[2] ↑

[:0-3] 3,0 ^3,1

[4] ↑

[5] Vorlage:Literatur

[6] ↑

[1]

[2]

[3]

[4]

[5]

[6]

@@ Zeile 1: / Zeile 1: @@
-= Full disclosure =
+'''Full disclosure''' - Beschreibung
-Finden unabhängige IT-Sicherheitsexperten Schwachstellen in Computerprogrammen, sogenannte [[Sicherheitslücke]]n, gibt es für sie mehrere Möglichkeiten der Offenlegung. '''Full Disclosure''' bezeichnet die Praxis, sämtliche Informationen über die Sicherheitslücke sofort und ohne Absprache mit den verantwortlichen Stellen allgemein zugänglich zu veröffentlichen. Hierdurch werden Benutzer frühzeitig gewarnt; [[Hacker (Computersicherheit)|Hacker]] können allerdings die Schwachstelle potentiell ausnutzen, bevor diese durch den Hersteller geschlossen werden kann.<ref>{{Internetquelle |url=https://fh-hwz.ch/news/offenlegung-von-sicherheitsluecken-aus-ethischer-sicht/ |titel=Offenlegung von Sicherheitslücken aus ethischer Sicht |sprache=de-CH |abruf=2021-08-05}}</ref>
-Ein alternativer Ansatz ist die [[Responsible Disclosure (IT-Sicherheit)|Responsible Disclosure]]. Hierbei wird die Offenlegung mit dem Hersteller abgestimmt und die breite Öffentlichkeit erst informiert, sobald die Sicherheitslücke behoben wurde.<ref>{{Internetquelle |url=https://www.telefonica.de/responsible-disclosure.html |titel=Responsible Disclosure {{!}} Telefónica Deutschland |abruf=2021-08-05}}</ref>
+== Beschreibung ==
+Finden unabhängige IT-Sicherheitsexperten Schwachstellen in Computerprogrammen, sogenannte [[Sicherheitslücke]]n, gibt es für sie mehrere Möglichkeiten der Offenlegung. '''Full Disclosure''' bezeichnet die Praxis, sämtliche Informationen über die Sicherheitslücke sofort und ohne Absprache mit den verantwortlichen Stellen allgemein zugänglich zu veröffentlichen
+* Hierdurch werden Benutzer frühzeitig gewarnt; [[Hacker (Computersicherheit)|Hacker]] können allerdings die Schwachstelle potentiell ausnutzen, bevor diese durch den Hersteller geschlossen werden kann.<ref>{{Internetquelle |url=https://fh-hwz.ch/news/offenlegung-von-sicherheitsluecken-aus-ethischer-sicht/ |titel=Offenlegung von Sicherheitslücken aus ethischer Sicht |sprache=de-CH |abruf=2021-08-05}}</ref>
-Ein Grund, warum sich der Entdecker der Schwachstelle für eine Full Disclosure entscheidet, könnte beispielsweise sein, dass der Hersteller auf den Hinweis nicht reagierte oder das Problem kleinredete. Indem der Hacker die Sicherheitslücke veröffentlicht, kann so Druck ausgeübt werden. Im Allgemeinen ist der Ansatz der Full Disclosure jedoch sehr umstritten und wird von vielen als unverantwortlich angesehen. Er sollte nur als letzter Ausweg genutzt werden, wenn andere Maßnahmen fehlschlugen oder [[Schadprogramm|Schadcode]] für die Schwachstelle bereits im Umlauf ist.<ref name=":0">{{Internetquelle |url=https://cheatsheetseries.owasp.org/cheatsheets/Vulnerability_Disclosure_Cheat_Sheet.html |titel=Vulnerability Disclosure - OWASP Cheat Sheet Series |abruf=2021-08-06}}</ref>
+Ein alternativer Ansatz ist die [[Responsible Disclosure (IT-Sicherheit)|Responsible Disclosure]]
+* Hierbei wird die Offenlegung mit dem Hersteller abgestimmt und die breite Öffentlichkeit erst informiert, sobald die Sicherheitslücke behoben wurde.<ref>{{Internetquelle |url=https://www.telefonica.de/responsible-disclosure.html |titel=Responsible Disclosure {{!}} Telefónica Deutschland |abruf=2021-08-05}}</ref>
+Ein Grund, warum sich der Entdecker der Schwachstelle für eine Full Disclosure entscheidet, könnte beispielsweise sein, dass der Hersteller auf den Hinweis nicht reagierte oder das Problem kleinredete
+* Indem der Hacker die Sicherheitslücke veröffentlicht, kann so Druck ausgeübt werden
+* Im Allgemeinen ist der Ansatz der Full Disclosure jedoch sehr umstritten und wird von vielen als unverantwortlich angesehen
+* Er sollte nur als letzter Ausweg genutzt werden, wenn andere Maßnahmen fehlschlugen oder [[Schadprogramm|Schadcode]] für die Schwachstelle bereits im Umlauf ist.<ref name=":0">{{Internetquelle |url=https://cheatsheetseries.owasp.org/cheatsheets/Vulnerability_Disclosure_Cheat_Sheet.html |titel=Vulnerability Disclosure - OWASP Cheat Sheet Series |abruf=2021-08-06}}</ref>
 Um eine Full Disclosure zu verhindern, bieten viele Unternehmen sogenannte [[Bug-Bounty-Programm|Bug-Bounty-Programme]] an.<ref>{{Internetquelle |autor=Kai Biermann |url=https://www.zeit.de/digital/datenschutz/2013-09/bug-bounty-hack/komplettansicht |titel=Kopfgeldjagd im Internet |datum=2013-09-03 |sprache=de |abruf=2021-08-06}}</ref> Hierbei werden Prämien für das Finden von Schwachstellen ausgelobt; so zahlte beispielsweise Facebook 1,98 Millionen und Google 6,7 Millionen US-Dollar im Jahr 2020 aus.<ref>{{Literatur |Titel=Facebook awards $1.98 million to researchers for findings bugs in 2020 |Sammelwerk=The Economic Times |Online=https://economictimes.indiatimes.com/tech/technology/fb-awards-1-98-million-to-researchers-for-findings-bugs-in-2020/articleshow/79318170.cms |Abruf=2021-08-13}}</ref><ref>{{Internetquelle |autor=Catalin Cimpanu |url=https://www.zdnet.com/article/google-paid-6-7-million-to-bug-bounty-hunters-in-2020/ |titel=Google paid $6.7 million to bug bounty hunters in 2020 |sprache=en |abruf=2021-08-13}}</ref> Teilweise verpflichtet sich der Hacker im Gegenzug dazu, Stillschweigen über seine Funde zu bewahren, in diesem Fall spricht man dann von einer Private Disclosure.<ref name=":0" />
+<noinclude>
+== Anhang ==
+=== Siehe auch ===
+* [[Responsible Disclosure]]
+{{Special:PrefixIndex/{{BASEPAGENAME}}}}
+==== Links ====
+===== Weblinks =====
+# https://de.wikipedia.org/wiki/Full_Disclosure_(IT-Sicherheit)
 [[Kategorie:Sicherheitslücke]]
@@ Zeile 13: / Zeile 29: @@
 [[Kategorie:Informatik]]
-= Responsible Disclosure =
+</noinclude>
-'''Responsible Disclosure''' ist ein Verfahren zur Offenlegung von [[Sicherheitslücke]]n, bei dem die Schwachstelle zuerst den Entwicklern gemeldet und erst nach einer angemessenen Frist zur Behebung veröffentlicht wird.<ref>{{Internetquelle |url=https://www.bugcrowd.com/resource/what-is-responsible-disclosure/ |titel=What is Responsible Disclosure? |werk=Bugcrowd |sprache=en-US |abruf=2021-08-05}}</ref>
-Zusätzlich gibt es die [[Full Disclosure (IT-Sicherheit)|Full Disclosure]], bei der direkt die Öffentlichkeit informiert wird, sowie die [[Private Disclosure (IT-Sicherheit)|Private Disclosure]], bei der die Details nicht öffentlich gemacht werden.
-== Verfahren ==
-Die Entwickler von [[Hardware|Hard-]] und [[Software]] benötigen im Allgemeinen Zeit und Ressourcen, um ihre Fehler zu beheben. Viele [[Hackerethik|Ethische Hacker]] sind der Meinung, dass es ihre soziale Verantwortung ist, die [[Öffentlichkeit]] auf Schwachstellen aufmerksam zu machen, ohne sie unnötig zu gefährden. Das Verschweigen dieser Probleme könnte bei Nutzern ein Gefühl falscher [[Sicherheit]] hervorrufen und ermöglicht, dass Hintertüren weiter existieren können. Daher liegt es in der empfundenen Verantwortung, solche Lücken zu melden. Dafür schließen sich die beteiligten Parteien zusammen und vereinbaren eine Frist für die Behebung der Schwachstelle. Je nach den potenziellen Auswirkungen der Schwachstelle, der voraussichtlichen Zeit, die für die Entwicklung einer Lösung und das Ausspielen des entsprechenden [[Patch (Software)|Patches]] benötigt wird, sowie weiteren Faktoren kann dieser Zeitraum zwischen einigen Tagen und mehreren Monaten liegen. Teilweise stellt der Entdecker einer Schwachstelle auch dem Hersteller eine Frist, bis zu der dieser auf den Hinweis reagiert haben muss, um eine Full Disclosure zu verhindern.<ref>{{Internetquelle |url=https://cheatsheetseries.owasp.org/cheatsheets/Vulnerability_Disclosure_Cheat_Sheet.html |titel=Vulnerability Disclosure - OWASP Cheat Sheet Series |abruf=2021-08-06}}</ref>
-Es ist industrieweit etabliert, dem Melder einer Sicherheitslücke zu danken und ggf. zu belohnen. Allerdings können auch per Responsible Disclosure gemeldete Sicherheitslücken strafrechtliche Konsequenzen für den Entdecker nach sich ziehen. Ein Fallbeispiel ist der Sicherheitsforscher Patrick Webster, der herausfand, dass personenbezogene Daten einer [[Australien|australischen]] Behörde öffentlich einsehbar waren. Da er, um diese Sicherheitslücke zu entdecken, diese Daten eingesehen hatte, wurden ihm juristische Konsequenzen angedroht; diese wurden jedoch später aufgrund des öffentlichen Drucks zurückgezogen.<ref>{{Internetquelle |url=https://fortune.com/2018/03/01/fundraising-bug-bounty-bugcrowd/ |titel=Bug Bounty Startup Raises $26 Million |sprache=en |abruf=2021-08-10}}</ref><ref>{{Literatur |Autor=Alana Maurushat |Titel=Disclosure of Security Vulnerabilities |Verlag=Springer London |Ort=London |Datum=2013 |Reihe=SpringerBriefs in Cybersecurity |ISBN=978-1-4471-5003-9 |DOI=10.1007/978-1-4471-5004-6 |Seiten=10 ff. |Online=https://link.springer.com/book/10.1007%2F978-1-4471-5004-6 |Abruf=2021-08-10}}</ref> Auch die Sicherheitsforscherin [[Lilith Wittmann]] erhielt noch 2021 eine [[Strafanzeige]], nachdem sie eine Sicherheitslücke in der Wahlkampf-App [[CDU connect]] entdeckt hatte. Die [[CDU]] entschuldigte sich später.<ref>[https://www.heise.de/news/CDU-zieht-Anzeige-wegen-CDU-connect-App-zurueck-und-bittet-um-Entschuldigung-6155229.html CDU zieht Anzeige wegen CDU-connect-App zurück und bittet um Entschuldigung], Nico Ernst, Heise online, 4. August 2021</ref> Im Sommer 2021 wurde eine Sicherheitslücke vom Dienstleister Modern Solution GmbH & Co. KG mit Sitz in Gladbeck bekannt, durch die personenbezogene Daten direkt übers Internet eingesehen werden konnten. Der Entwickler wurde trotz mehrfachen, erfolglosen Kommunikationsversuchen mit dem Dienstleister von diesem wegen Datenhehlerei und Eindringen in Computersysteme angezeigt.<ref>[https://www.heise.de/news/Datenleck-Anzeige-gegen-IT-Experte-kam-von-Modern-Solution-6254839.html Datenleck: Anzeige gegen IT-Experte kam von Modern Solution], Fabian A. Scherschel, Heise online, 5. November 2021</ref>
-[[Kategorie:Sicherheitslücke]]
-[[Kategorie:IT-Sicherheit]]
-[[Kategorie:Hackerkultur]]
-[[Kategorie:Informatik]]