Pentagon hat bereits 50.000 Schwachstellenmeldungen erhalten
Im Rahmen des Vulnerability-Disclosure-Programms hat das US-Verteidigungsministerium seit 2016 mehr als 50.000 Meldungen bearbeitet.
(Bild: Ivan Cholakov/Shutterstock.com)
Das seit 2016 laufende Vulnerability Disclosure Program (VDP) genannte Bug-Bounty-Programm hat zum Wochenende einen Meilenstein erreicht: Das US-amerikanische Verteidigungsministerium hat seitdem 50.000 Sicherheitsmeldungen bearbeitet. Zum Auftakt hatten im ersten Monat des Pilotprojekts "Hack the Pentagon" bereits von Mitte April bis Mitte Mai 1410 Teilnehmer 1189 Berichte eingereicht, die 138 Schwachstellen ans Licht brachten.
An Hack-the-Pentagon schloss sich im November 2016 das Langzeitprojekt Vulnerability Disclosure Program (VDP) an, das das Cyber Crime Center (DC3) des US-Verteidigungsministeriums (DoD, Department of Defense) betreibt. Das DoD schreibt, dass das Programm Teil eines Verteidigung-in-der-Tiefe-Ansatzes sei. Als zentraler Anlaufpunkt für Schwachstellenmeldungen trage das DC3 VDP signifikant zur allgemeinen Sicherheit des US-Verteidigungsministeriums bei.
Stetige Verbesserung der Schwachstellenmeldungsinfrastruktur
Das DC3 hat dabei die Strukturen zur Verarbeitung solcher Fehlermeldungen stetig verbessert. Das DoD erläutert, dass es 2018 etwa das Vulnerability Report Management Network eingeführt hat. Das automatisiert, verfolgt und verarbeitet alle Berichte und ermöglicht deutlich effizientere Prozesse. Dadurch konnte das VDP seine Tätigkeit von den DoD-Webseiten und -Apps auf sämtliche öffentlich zugreifbare IT-Strukturen der vereinten Streitkräfte ausweiten.
Im Jahr 2021 folgte eine Partnerschaft aus DC3 und der Defense Counterintelligence and Security Agency, in etwa das US-amerikanische Pendant zum deutschen MAD (Militärischer Abschirmdienst), bei der die Behörden als Testballon ein Defense Industrial Base(DIB)-VDP starteten. Der war zunächst auf zwölf Monate angelegt und habe den Steuerzahlern geschätzte 61 Millionen US-Dollar gespart durch die Aufdeckung und Beseitigung von mehr als 400 aktiven Schwachstellen und Informationsabfluss-Bedrohungen bei den öffentlich zugreifbaren Ressourcen der Teilnehmer des DIB. "Das DIB-VDP-Team setzt auf kostengünstige 'ethische Hacker', bearbeitete 1019 Schwachstellenberichte und schützte dadurch die kleinen und mittelgroßen DIB-Unternehmen (DIBCOs) vor den entdeckten Bedrohungen", preist das Pentagon das DIB-VDP an.
Das Pilotprojekt brachte dem DC3 auch einen Preis ein, den DoD Chief Information Officer Annual Award. "Der Erfolg des DC3 VDP ist ein überzeugendes Beispiel dafür, wie eine starke Beziehung mit der globalen 'ethischen Hacker-Community' zu einer konsequenten Stärkung der Cyber-Verteidigung führt", kommentierte der Gründer und CTO der HackerOne-Plattform Alex Rice. DC3-VDP-Direktor Melissa erklärte: "Dieses Proof-of-Concept-Pilotprojekt liefert erstklassige Geschwindigkeit und Flexibilität und stellt sicher, dass die freiwilligen DIBCO-Teilnehmer geschützt werden. Es basiert auf dem seit sieben Jahren erfolgreichen DoD-VDP-Richtwert für alle Regierungsorganisationen, die von der Industrie, der Regierung, der Wissenschaft und den Five-Eyes-Partnern als führend in der Erkennung und Verwaltung von Schwachstellen anerkannt wurde".
(dmk)