IT-Schwachstellen: ETSI rät zu Anreizen für Hacker statt in Panik zu geraten
Das EU-Normungsinstitut ETSI rät Firmen, ein Triage-Verfahren für gemeldete IT-Sicherheitslücken einzuführen und Finder etwa mit Werbegeschenken zu belohnen.
Wenn Unternehmen oder andere Institutionen eine Meldung von Hackern oder IT-Sicherheitsforschern über eine entdeckte Schwachstelle in Software oder Systemen und potenzielle Datenpannen erhalten, verfallen sie oft in Panik und stellen manchmal sogar Anzeige gegen den Hinweisgeber. Dies sei ein völlig falscher Ansatz, erklärt das Europäische Institut für Telekommunikationsnormen (ETSI). Es appelliert an Organisationen, ein Verfahren für die "koordinierte Offenlegung von Schwachstellen" einzurichten.
Das ETSI hat dazu einen Technischen Bericht veröffentlicht (TR 103 838), in dem es Hinweise für das Etablieren einen solchen "Coordinated Vulnerability Disclosure"-Prozesses (CVD) gibt. Damit will sie es Firmen und anderen Einrichtungen jeglicher Größe ermöglichen, Sicherheitslücken zu beheben, "bevor sie öffentlich bekannt werden" und möglicherweise im großen Stil ausgenutzt werden.
Fehlende Möglichkeit zum Melden von Schwachstellen
Anfang 2022 verfügten laut der Standardisierungsorganisation nur etwa 20 Prozent der Unternehmen im Bereich Informations- und Kommunikationstechnologien über eine öffentlich zugängliche Möglichkeit, um sie über ein potenziell schwerwiegendes Sicherheitsproblem bei ihren Produkten oder Dienstleistungen zu informieren. Viele Firmen böten auf ihrer Webseite zwar ein Kontaktformular an oder verfügten über Profile in sozialen Netzwerken, über die eine Schwachstelle gemeldet werden könne. Dies reiche in der Regel aber nicht aus.
In den meisten Fällen, in denen es kein formelles separates CVD-Verfahren gibt, verfügten viele Institutionen nicht über interne Verfahren, um solche Meldungen rasch zu bearbeiten, moniert das ETSI. Dies gelte vorrangig dann, wenn Elemente von Drittanbietern in ihren Produkten enthalten sind. Insbesondere kleinere Unternehmen und Anbieter von Hard- oder Software, die nicht formalen behördlichen Cybersicherheitsprüfungen unterlägen, hätten kein CVD-Management, gibt Alex Leadbeater vom ETSI zu bedenken. Solche Offenlegungsstandards seien aber für Hersteller physischer Produkte genauso wichtig wie für Anbieter von Dienstleistungen oder Apps.
Anonymes Melden über sicheres Webformular
Für die Meldung einer Schwachstelle sollte ein sicheres Webformular verwendet werden, heißt es in dem Report. Ein solches biete den einfachsten Zugang. Es biete zudem einen strukturierten Weg, um sicherzustellen, dass der Finder "alle erforderlichen Informationen" übermittelt.
Das anonyme Melden von Sicherheitslücken sollte zugelassen werden, unterstreicht das ETSI. Andererseits könne für den Fall von Nachfragen auch ein Anreiz für einen Hinweisgeber hilfreich sein, seine Kontaktdaten anzugeben. Jeder Meldung sollte automatisch eine eindeutige Referenznummer zugewiesen werden, damit beide Seiten das entsprechende "Ticket" verfolgen könnten. Um Spam-Meldungen zu reduzieren, sollte die Anzahl der zulässigen Einsendungen innerhalb eines bestimmten Zeitraums begrenzt oder ein "Challenge-Response-Test" durchgeführt werden.
Triage-Verfahren – Priorität für das Beheben von Schwachstellen
Außerdem empfiehlt das Normungsinstitut, ein Triage-Verfahren für den weiteren Umgang mit der Eingabe einzurichten. Bekannt geworden ist ein solcher Ansatz zur Priorisierung von Möglichkeiten zur Hilfeleistung bei unzureichenden Ressourcen aktuell mit der Corona-Pandemie beim Belegen von Klinikbetten für die künstliche Beatmung. In diesem Fall soll damit aber sichergestellt werden, "dass eine Bewertung der Meldung, ihres Schweregrads und der wahrscheinlichen Auswirkungen auf das Unternehmen erfolgt".
Dies vermeide "überstürzte oder falsche Reaktionen", ist dem Ratgeber zu entnehmen. Anhand der bei einer solchen Sichtung ermittelten Informationen sollte dann eine Priorität für das Beheben der Schwachstelle festgelegt werden. Der Triage-Prozess könne von einem internen Team durchgeführt oder ausgelagert werden. In beiden Fällen sollte nur technisch versiertes Personal mit Einblicken in die Betriebsstrukturen herangezogen werden.
Werbegeschenke, Wanderpokal oder "Hall of Fame" als Anerkennung
Seien die nötigen Schritte erfolgt, könnte es dem Leitfaden nach gegebenenfalls sinnvoll sein, eine öffentliche Warnung auszusprechen, Datenschutzbehörden zu informieren oder eine Referenznummer im Rahmen des "Common Vulnerabilities and Exposures"-Systems (CVE) zu beantragen.
"Sobald die gemeldete Schwachstelle behoben ist, sollte eine Organisation erwägen, den Finder zu bestätigen", hebt das ETSI hervor. So könne dessen Name etwa in einen öffentlichen Hinweis aufgenommen werden, falls dies gewünscht sei. Andere Formen der Anerkennung stellten eine Aufnahme in ein "Hall of Fame"-Verzeichnis, ein Anerkennungsschreiben oder Werbegeschenke etwa in Form eines Wanderpokals oder eines Präsents mit Firmenlogo dar.
Hackerethik
Der Report enthält auch Ratschläge für den Umgang mit Sicherheitslücken in Produkten von Drittanbietern oder Lieferanten. Dazu kommt eine anpassbare Vorlage für eine Richtlinie zum Offenlegen von Schwachstellen.
Der Chaos Computer Club (CCC) empfiehlt, hierzulande Sicherheitslücken im Zweifelsfall anonym zu melden und die Hackerethik zu beachten. Die Hackerparagrafen verböten es, sich Zugriff auf speziell geschützte Daten zu verschaffen. Damit drohten auch Sicherheitsforscher rechtliche Konsequenzen, die gute Absichten verfolgen. Davon konnte im vorigen Jahr etwa Lilith Wittmann vom Kollektiv Zerforschung ein Lied singen, nachdem sie eine Schwachstelle in einer CDU-App entdeckt und gemeldet hatte. Die Partei zeigte sie an und ruderte erst nach einem öffentlichen Aufschrei zurück.
(bme)