Menü

Konzern

Thomas Tschersich

Responsible Disclosure

Wer von Fehlerkultur in der IT spricht, der spricht eigentlich auch von Responsible Disclosure. Aber ist dieses Prinzip jedem bekannt? Wahrscheinlich nicht – und das gilt für beide Seiten. Der Seite, die eine Schwachstelle hat und sie schließen muss und der Seite, die diese entdeckt und damit verantwortungsvoll umgehen sollte. 

Das Verfahren Responsible Disclosure wird von IT-Expertinnen und -Experten verwendet, um Schwachstellen in Software oder Systemen fair und lösungsorientiert zu melden. Wer auf solch ein Sicherheits-Risiko stößt, sollte es zunächst sauber dokumentieren. Sprich festhalten, wie die Schwachstelle gefunden wurde, wie sie sich auswirken könnte und welche Schritte notwendig sind, um die Schwachstelle zu reproduzieren.

Thomas Tschersich, Chief Security Officer (CSO) Deutsche Telekom AG.

Thomas Tschersich, Chief Security Officer (CSO) Deutsche Telekom AG.

Dann gilt es den Kontakt zu den Entwicklern, den Herstellern oder dem für das System verantwortliche Unternehmen aufzunehmen. Das geschieht in der Regel über einen genau dafür vorgesehenen Kontakt. Bei der Deutschen Telekom ist das bugbounty-DE@t-mobile.cz. Für die nächsten Schritte braucht es Transparenz, Geduld und Vertrauen – oder es eskaliert genau an diesem Punkt. Denn wer eine solche Schwachstelle meldet, sollte den Betroffenen nun angemessene Zeit geben sich damit auseinanderzusetzen. Also sie zu untersuchen und zu beheben – das kann von Fall zu Fall Wochen, ja bei komplexen Systemen sogar Monate dauern. 

Gleichzeitig muss der Dialog fortgeführt werden, damit es nicht zu Missverständnissen kommt. Oder der Eindruck entsteht, das Melden der Schwachstelle hätte nichts gebracht. Im Idealfall tauschen sich beide Seiten zum Zeitrahmen aus und verabreden das weitere Vorgehen. Etwa die Kommunikation dazu. Wenn das Unternehmen/der Entwickler die Schwachstelle behoben hat oder wenn die vereinbarte Wartezeit abgelaufen ist und keine angemessene Reaktion erfolgt, könnte der Zeitpunkt gekommen sein, die Schwachstelle auf anderem Weg öffentlich zu machen. Etwa um andere Nutzerinnen und Nutzer zu warnen. Auch das ist fair, denn es bestand ja die Möglichkeit an diesem Zustand etwas zu ändern. Es sei denn, jemand findet eine Schwachstelle und noch während des Kontaktes zu den Betroffenen, erfährt auch der Rest der Welt per Social Media davon. Das ist dann eher unfair und hat nichts mehr mit Responsible Disclosure zutun. Denn es geht im Kern darum, sensible Informationen vertraulich zu behandeln und nicht darum Entwickler für Fehler abzustrafen. Eben eine Fehlerkultur zu leben.

Wo Menschen arbeiten, machen Menschen auch Fehler. Damit angemessen umzugehen ist wichtig im Sinne einer gemeinsamen Fehlerkultur. Bei der Deutschen Telekom glauben wir an Responsible Disclosure und belohnen Hinweise über ein Bug Bounty Programm. Auf diese Weise haben wir mit den Jahren wertvolle Erkenntnisse gewonnen – Dank der Hilfe talentierter Sicherheitsforscher. Denen unser Dank dafür gilt, dass sie uns geholfen haben besser zu werden. Weitere Informationen dazu findet ihr hier.

Thomas Tschersich, Chief Security Officer (CSO) Deutsche Telekom AG.

Thomas Tschersich

Corporate Blogger

Profil und weitere Artikel

Datenschutz und Sicherheit

Datenschutz und Sicherheit

Sicherheitshinweise und aktuelle Informationen aus dem Bereich Datenschutz und Datensicherheit.

Datenschutz und Sicherheit

FAQ

Cookies und ähnliche Technologien

Wir setzen Cookies und ähnliche Technologien auf unserer Website ein, um Informationen auf Ihrem Endgerät zu speichern, auszulesen und weiterzuverarbeiten. Dadurch verbessern wir Ihr Erlebnis, analysieren den Traffic auf der Website und zeigen Ihnen Inhalte und Werbung, die für Sie interessant sind. Dafür werden website- und geräteübergreifend Nutzungsprofile erstellt. Auch unsere Partner nutzen diese Technologien.


Wenn Sie „Nur erforderliche“ wählen, akzeptieren Sie nur Cookies, die zum richtigen Funktionieren unserer Website nötig sind. „Alle akzeptieren“ bedeutet, dass Sie den Zugriff auf Informationen auf Ihrem Endgerät und die Verwendung aller Cookies zur Analyse und für Marketingzwecke durch Deutsche Telekom AG und unsere Partner erlauben. Ihre Daten könnten dann in Länder außerhalb der Europäischen Union übermittelt werden, wo wir kein Datenschutzniveau garantieren können, das dem der EU entspricht (siehe Art. 49 (1) a DSGVO). Unter „Einstellungen“ können Sie alles im Detail festlegen und Ihre Einwilligung jederzeit ändern.


Weitere Informationen finden Sie im Datenschutzhinweis und in der Partnerliste.