Inhaltsverzeichnis:
- Definition - Was bedeutet Vulnerability Disclosure?
- Techopedia erklärt die Offenlegung von Sicherheitslücken
Definition - Was bedeutet Vulnerability Disclosure?
Eine Offenlegung von Sicherheitslücken ist eine Richtlinie, die sowohl von Organisationen als auch von Einzelpersonen in Bezug auf die Offenlegung oder Veröffentlichung von Informationen in Bezug auf Sicherheitslücken und Exploits in Bezug auf ein Computersystem, ein Netzwerk oder eine Software praktiziert wird. Dies liegt an der Tatsache, dass ethische Hacker und Computersicherheitsexperten der Ansicht sind, dass es ihre gesellschaftliche Verantwortung ist, die Öffentlichkeit auf potenzielle Sicherheitslücken aufmerksam zu machen, da die Stille sonst zu einem falschen Sicherheitsgefühl führen und die Menschen selbstgefällig machen kann, was zu weiteren Risiken führt.
Die Offenlegung von Sicherheitslücken wird auch als vollständige Offenlegung von Sicherheitslücken oder einfach als vollständige Offenlegung bezeichnet.
Techopedia erklärt die Offenlegung von Sicherheitslücken
Bei der Offenlegung von Sicherheitslücken werden die Details einer Sicherheitslücke der Öffentlichkeit zur Prüfung zur Verfügung gestellt und Software- und Hardwareanbieter dazu gezwungen, diese Probleme schnell zu beheben. Vor der Offenlegung von Sicherheitslücken vertrauten Software- und Hardwareanbieter auf die Geheimhaltung. Das heißt, sie hofften, dass die Hacker die Sicherheitslücken, die sie hatten, nicht entdecken und ausnutzen würden. Hacker haben jedoch immer wieder bewiesen, dass eine Schwachstelle wahrscheinlich früher oder später entdeckt wird, wenn sie vorhanden ist.
Bevor die Offenlegung von Sicherheitslücken zur gängigen Praxis wurde, wurden Sicherheitsforscher, die festgestellte Sicherheitslücken meldeten, häufig ignoriert und bei Bekanntwerden der Sicherheitslücken sogar mit Rechtsstreitigkeiten bedroht. Einige Unternehmen behandelten diese Sicherheitsanfälligkeiten sogar als "theoretisch", bis ein findiger Hacker sie fand und ausnutzte. Zu diesem Zeitpunkt musste das Unternehmen schnell einen Patch entwickeln und sich dann bei seinen Kunden entschuldigen. Aus diesem Grund haben sich eine Gruppe von Unternehmen und Sicherheitsforschern zu einer "Offenlegung der Verantwortung" zusammengeschlossen, die sich auf die Drohung stützte, die Sicherheitsanfälligkeit zu veröffentlichen, um das betreffende Unternehmen zu veranlassen, etwas dagegen zu unternehmen.
Der Prozess für die Offenlegung einer Sicherheitsanfälligkeit beginnt, wenn eine Sicherheitsanfälligkeit in einem Computer oder einem Hardwaresystem entdeckt wird. Die Person, die es entdeckt hat, informiert das Unternehmen über Einzelheiten der Sicherheitsanfälligkeit, damit sie Maßnahmen ergreifen kann. Nach 45 Tagen wird die Sicherheitsanfälligkeit öffentlich bekannt gegeben, unabhängig davon, ob das Unternehmen einen Patch veröffentlicht hat oder nicht.
