Responsible Disclosure: Verantwortungsvoller Umgang mit Sicherheitslücken

Fehler sind menschlich – das gilt auch in der Softwareentwicklung. Ein einfacher Zahlendreher oder ein übersehener Sonderfall im Code kann weitreichende Konsequenzen haben, etwa Sicherheitslücken, die Angreifer:innen ausnutzen könnten. Um solche Lücken zu schließen, braucht es einen strukturierten und effizienten Ansatz. Genau hier setzt das Konzept eines Responsible Disclosure Prozesses an. Bei CERTAINITY sehen wir Responsible Disclosure als wichtigen Beitrag zur IT-Community, um eine sichere und resiliente Gesellschaft gegen Cyberangriffe zu schaffen.

Was bedeutet Responsible Disclosure?

Responsible Disclosure steht für den verantwortungsvollen Umgang mit dem Veröffentlichen von Sicherheitslücken. Dabei geht es darum, dass Sicherheitsforscher entdeckte Schwachstellen zuerst an die betroffenen Unternehmen oder Hersteller melden, bevor sie die Informationen veröffentlichen. So wird sichergestellt, dass die Lücken behoben werden können, bevor Angreifer:innen sie ausnutzen. Trotzdem ist das letztliche Veröffentlichen der Schwachstelle nach dessen Behebung ein zentraler Bestandteil, um Transparenz zu fördern und Nutzer:innen gezielt zu informieren. Dadurch erfahren Anwender:innen leichter von Sicherheitsproblemen und erhalten klare Anleitungen, wie sie ihre Systeme beispielsweise durch Updates oder Konfigurationsanpassungen schützen können. 

Unser Ansatz bei CERTAINITY

Bei CERTAINITY fallen gefundene Schwachstellen in der Software unserer direkten Kunden unter ein Non-Disclosure-Agreement (NDA), d.h. hier entscheiden die Kund:innen wie viel Informationen sie über die gefundenen Schwachstellen veröffentlichen wollen. Allerdings verwenden nur die wenigsten Unternehmen ausschließlich selbst entwickelte Software. Wenn wir Schwachstellen in Drittanbietersoftware bei unseren Engagements entdecken, können unsere Kund:innen diese Schwachstellen oft nicht selbst beheben. In diesen Fällen greift unser Responsible Disclosure Prozess:

Unsere Responsible Disclosure Policy bildet die Grundlage für den verantwortungsvollen Umgang mit Sicherheitslücken in Drittanbietersoftware. Sie gibt den Consultants bei CERTAINITY klare Leitlinien, wie sie Schwachstellen sicher melden können, und beschreibt unseren internen Prozess. Die Prozessschritte der Policy können wie folgt zusammengefasst werden:

1. Analyse: Unsere Expert:innen identifizieren eine Schwachstelle und bewerten deren Kritikalität.
2. Meldung/Kontaktaufnahme: Die Information über die Sicherheitslücke sowie alle notwendigen Details, um diese nachvollziehen zu können, werden an den Hersteller oder das betroffene Unternehmen übermittelt. Eine Deadline zur Behebung wird vereinbart. Dabei achtet CERTAINITY darauf, dass der Hersteller ausreichend Zeit hat, notwendige Anpassungen vorzunehmen, während gleichzeitig eine zeitnahe Lösung für die Kund:innen bereitgestellt wird.
3. Behebung: Im Idealfall entwickelt der Hersteller im besprochenen Zeitrahmen eine passende Lösungsstrategie. Unsere Consultants unterstützen diesen Prozess aktiv und verifizieren die entwickelte Lösung, um sicherzustellen, dass die Schwachstelle erfolgreich geschlossen wird.
4. Veröffentlichung: Nach erfolgreicher Behebung oder Ablauf der Deadline erfolgt die Veröffentlichung der Schwachstelle, mit dem Ziel, die Öffentlichkeit zu informieren und auf das Sicherheitsproblem sowie die Lösung aufmerksam zu machen. Für die Schwachstellendokumentation (Advisory) wählen wir ein klar strukturiertes Format inklusive Software-Identifikatoren, Versionsnummern, Risikobewertungen, CVE-Nummern und einer detaillierten Timeline. Damit können Leser schnell einschätzen, ob und wie stark sie betroffen sind.

Mit diesem Ansatz schaffen wir Vertrauen zwischen allen Beteiligten und tragen dazu bei, Schwachstellen nachhaltig zu schließen. 

Beispiele aus der Praxis

Im Laufe der Jahre haben wir mehrere Schwachstellen über den Responsible Disclosure Prozess gemeldet und behoben. Einige Highlights unserer Security Advisories sind:

• Multiple Vulnerabilities in Web Level Control (WLC) Application
• Clock Fault Injection on Mocor OS – Password Bypass
• Multiple Vulnerabilities in NetModule Routers

Herausforderungen und Best Practices

Die Umsetzung von Responsible Disclosure ist nicht immer einfach. Zu den häufigsten Herausforderungen gehören:

• Kommunikation: Unternehmen reagieren manchmal zögerlich auf Sicherheitsmeldungen. Zusätzlich erschwert das Fehlen spezifischer Sicherheitskontakte die Kontaktaufnahme und verzögert den gesamten Prozess.
• Unverständnis: Nicht alle Unternehmen verstehen sofort, warum eine gemeldete Schwachstelle kritisch ist oder unterschätzen deren Kritikalität.
• Priorisierung/Kosten: Der Hersteller bzw. Entwickler muss proaktiv Ressourcen zur Behebung der Sicherheitslücke zuweisen.

Unsere Erfahrung zeigt: Transparenz, ein klarer Prozess und gegenseitiger Respekt sind Schlüssel zum Erfolg. Als Best Practices empfehlen wir:

• Klare Dokumentation: Eine veröffentlichte Policy zur Handhabung von Sicherheitslösungen schafft Vertrauen und gibt allen Beteiligten Orientierung. Viele Organisationen nehmen an BugBounty-Programmen teil oder folgen dem “security.txt”-Standard bei dem die Sicherheitskontakte einheitlich auf der Webseite unter /.well-known/security.txt gelistet werden.
• Zeitnahe Kommunikation: Schnelle Rückmeldungen zeigen, dass Sicherheitslücken ernst genommen werden. Auch hier empfiehlt sich das öffentliche Commitment zur Einhaltung von Rückmeldungsfristen durch eine Policy.
• Kooperation: Sicherheitsforscher und Hersteller sollten gemeinsam an Lösungen arbeiten. Bei Bedarf, kann CERTAINITY mit seinem Portfolio auch tiefergehend bei der Verbesserung des Sicherheitsniveaus unterstützen.

Fazit

Unternehmen, die Schwachstellen transparent und strukturiert handhaben, stärken nicht nur die Sicherheit ihrer eigenen Systeme, sondern auch die gesamte IT-Industrie. Ein klarer Prozess ist unverzichtbar – besonders angesichts zunehmender Software-Komplexität, steigender Open-Source- und Framework-Abhängigkeiten sowie wachsender regulatorischer Anforderungen (z. B. NIS2, CRA).

Software-Hersteller, die frühzeitig auf Transparenz, Kooperation und klare Prozesse setzen, gewinnen Vertrauen, senken Risiken und stärken ihre Resilienz. CERTAINITY engagiert sich aktiv in diesem Bereich – durch gezielte Security-Research, strukturierte Responsible Disclosure Prozesse und enge Zusammenarbeit mit Herstellern, Sicherheitsforschern und der IT-Community – für eine nachhaltige und widerstandsfähige Cybersecurity.