Full disclosure: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
VisuellWikitext
Keine Bearbeitungszusammenfassung
 
Zeile 1: Zeile 1:
'''Full disclosure''' - Beschreibung
'''Full disclosure''' - Sämtliche Informationen über eine Sicherheitslücke sofort und ohne Absprache mit den verantwortlichen Stellen allgemein zugänglich zu veröffentlichen


== Beschreibung ==
== Beschreibung ==
Finden unabhängige IT-Sicherheitsexperten Schwachstellen in Computerprogrammen, sogenannte [[Sicherheitslücke]]n, gibt es für sie mehrere Möglichkeiten der Offenlegung. '''Full Disclosure''' bezeichnet die Praxis, sämtliche Informationen über die Sicherheitslücke sofort und ohne Absprache mit den verantwortlichen Stellen allgemein zugänglich zu veröffentlichen
Finden unabhängige IT-Sicherheitsexperten Schwachstellen in Computerprogrammen, sogenannte [[Sicherheitslücke]]n, gibt es für sie mehrere Möglichkeiten der Offenlegung
* Hierdurch werden Benutzer frühzeitig gewarnt; [[Hacker (Computersicherheit)|Hacker]] können allerdings die Schwachstelle potentiell ausnutzen, bevor diese durch den Hersteller geschlossen werden kann.<ref>{{Internetquelle |url=https://fh-hwz.ch/news/offenlegung-von-sicherheitsluecken-aus-ethischer-sicht/ |titel=Offenlegung von Sicherheitslücken aus ethischer Sicht |sprache=de-CH |abruf=2021-08-05}}</ref>
* Full Disclosure bezeichnet die Praxis, sämtliche Informationen über die Sicherheitslücke sofort und ohne Absprache mit den verantwortlichen Stellen allgemein zugänglich zu veröffentlichen
* Hierdurch werden Benutzer frühzeitig gewarnt; [[Hacker (Computersicherheit)|Hacker]] können allerdings die Schwachstelle potentiell ausnutzen, bevor diese durch den Hersteller geschlossen werden kann


Ein alternativer Ansatz ist die [[Responsible Disclosure (IT-Sicherheit)|Responsible Disclosure]]
Ein alternativer Ansatz ist die [[Responsible Disclosure (IT-Sicherheit)|Responsible Disclosure]]
* Hierbei wird die Offenlegung mit dem Hersteller abgestimmt und die breite Öffentlichkeit erst informiert, sobald die Sicherheitslücke behoben wurde.<ref>{{Internetquelle |url=https://www.telefonica.de/responsible-disclosure.html |titel=Responsible Disclosure {{!}} Telefónica Deutschland |abruf=2021-08-05}}</ref>
* Hierbei wird die Offenlegung mit dem Hersteller abgestimmt und die breite Öffentlichkeit erst informiert, sobald die Sicherheitslücke behoben wurde


Ein Grund, warum sich der Entdecker der Schwachstelle für eine Full Disclosure entscheidet, könnte beispielsweise sein, dass der Hersteller auf den Hinweis nicht reagierte oder das Problem kleinredete
Ein Grund, warum sich der Entdecker der Schwachstelle für eine Full Disclosure entscheidet, könnte beispielsweise sein, dass der Hersteller auf den Hinweis nicht reagierte oder das Problem kleinredete
* Indem der Hacker die Sicherheitslücke veröffentlicht, kann so Druck ausgeübt werden
* Indem der Hacker die Sicherheitslücke veröffentlicht, kann so Druck ausgeübt werden
* Im Allgemeinen ist der Ansatz der Full Disclosure jedoch sehr umstritten und wird von vielen als unverantwortlich angesehen
* Im Allgemeinen ist der Ansatz der Full Disclosure jedoch sehr umstritten und wird von vielen als unverantwortlich angesehen
* Er sollte nur als letzter Ausweg genutzt werden, wenn andere Maßnahmen fehlschlugen oder [[Schadprogramm|Schadcode]] für die Schwachstelle bereits im Umlauf ist.<ref name=":0">{{Internetquelle |url=https://cheatsheetseries.owasp.org/cheatsheets/Vulnerability_Disclosure_Cheat_Sheet.html |titel=Vulnerability Disclosure - OWASP Cheat Sheet Series |abruf=2021-08-06}}</ref>
* Er sollte nur als letzter Ausweg genutzt werden, wenn andere Maßnahmen fehlschlugen oder [[Schadprogramm|Schadcode]] für die Schwachstelle bereits im Umlauf ist


Um eine Full Disclosure zu verhindern, bieten viele Unternehmen sogenannte [[Bug-Bounty-Programm|Bug-Bounty-Programme]] an.<ref>{{Internetquelle |autor=Kai Biermann |url=https://www.zeit.de/digital/datenschutz/2013-09/bug-bounty-hack/komplettansicht |titel=Kopfgeldjagd im Internet |datum=2013-09-03 |sprache=de |abruf=2021-08-06}}</ref> Hierbei werden Prämien für das Finden von Schwachstellen ausgelobt; so zahlte beispielsweise Facebook 1,98 Millionen und Google 6,7 Millionen US-Dollar im Jahr 2020 aus.<ref>{{Literatur |Titel=Facebook awards $1.98 million to researchers for findings bugs in 2020 |Sammelwerk=The Economic Times |Online=https://economictimes.indiatimes.com/tech/technology/fb-awards-1-98-million-to-researchers-for-findings-bugs-in-2020/articleshow/79318170.cms |Abruf=2021-08-13}}</ref><ref>{{Internetquelle |autor=Catalin Cimpanu |url=https://www.zdnet.com/article/google-paid-6-7-million-to-bug-bounty-hunters-in-2020/ |titel=Google paid $6.7 million to bug bounty hunters in 2020 |sprache=en |abruf=2021-08-13}}</ref> Teilweise verpflichtet sich der Hacker im Gegenzug dazu, Stillschweigen über seine Funde zu bewahren, in diesem Fall spricht man dann von einer Private Disclosure.<ref name=":0" />
Um eine Full Disclosure zu verhindern, bieten viele Unternehmen sogenannte [[Bug-Bounty-Programm|Bug-Bounty-Programme]] an
* Hierbei werden Prämien für das Finden von Schwachstellen ausgelobt; so zahlte beispielsweise Facebook 1,98 Millionen und Google 6,7 Millionen US-Dollar im Jahr 2020 aus
* Teilweise verpflichtet sich der Hacker im Gegenzug dazu, Stillschweigen über seine Funde zu bewahren, in diesem Fall spricht man dann von einer Private Disclosure


<noinclude>
<noinclude>

Aktuelle Version vom 25. November 2024, 20:58 Uhr

Full disclosure - Sämtliche Informationen über eine Sicherheitslücke sofort und ohne Absprache mit den verantwortlichen Stellen allgemein zugänglich zu veröffentlichen

Beschreibung

Finden unabhängige IT-Sicherheitsexperten Schwachstellen in Computerprogrammen, sogenannte Sicherheitslücken, gibt es für sie mehrere Möglichkeiten der Offenlegung

  • Full Disclosure bezeichnet die Praxis, sämtliche Informationen über die Sicherheitslücke sofort und ohne Absprache mit den verantwortlichen Stellen allgemein zugänglich zu veröffentlichen
  • Hierdurch werden Benutzer frühzeitig gewarnt; Hacker können allerdings die Schwachstelle potentiell ausnutzen, bevor diese durch den Hersteller geschlossen werden kann

Ein alternativer Ansatz ist die Responsible Disclosure

  • Hierbei wird die Offenlegung mit dem Hersteller abgestimmt und die breite Öffentlichkeit erst informiert, sobald die Sicherheitslücke behoben wurde

Ein Grund, warum sich der Entdecker der Schwachstelle für eine Full Disclosure entscheidet, könnte beispielsweise sein, dass der Hersteller auf den Hinweis nicht reagierte oder das Problem kleinredete

  • Indem der Hacker die Sicherheitslücke veröffentlicht, kann so Druck ausgeübt werden
  • Im Allgemeinen ist der Ansatz der Full Disclosure jedoch sehr umstritten und wird von vielen als unverantwortlich angesehen
  • Er sollte nur als letzter Ausweg genutzt werden, wenn andere Maßnahmen fehlschlugen oder Schadcode für die Schwachstelle bereits im Umlauf ist

Um eine Full Disclosure zu verhindern, bieten viele Unternehmen sogenannte Bug-Bounty-Programme an

  • Hierbei werden Prämien für das Finden von Schwachstellen ausgelobt; so zahlte beispielsweise Facebook 1,98 Millionen und Google 6,7 Millionen US-Dollar im Jahr 2020 aus
  • Teilweise verpflichtet sich der Hacker im Gegenzug dazu, Stillschweigen über seine Funde zu bewahren, in diesem Fall spricht man dann von einer Private Disclosure


Anhang

Siehe auch

Links

Weblinks
  1. https://de.wikipedia.org/wiki/Full_Disclosure_(IT-Sicherheit)


Abgerufen von „https://wiki.foxtom.de/index.php?title=Full_disclosure&oldid=116703