Bundesamt für Sicherheit in der Informationstechnik

Handhabung von Schwachstellen v1.2

Datum 31.03.2015

Viele Unternehmen verfolgen bei der Information über Schwachstellen häufig das Prinzip "Security by Obscurity", d. h. es werden keine oder nur unzureichende Informationen über mitunter gravierende Schwachstellen veröffentlicht. Jedoch kann gerade diese Denkweise dazu führen, dass Angreifer solche Schwachstellen ausnutzen, wenn sie bereits durch eigene Erkenntnisse oder den Zukauf aus entsprechenden Quellen bekannt sind. In letzter Konsequenz werden somit die Anwender der betroffenen Softwareprodukte geschädigt. Nach dem Prinzip des "Coordinated Disclosure" (auch "Responsible Disclosure") wird bei der Veröffentlichung von Schwachstellen ebenfalls selten verfahren. "Koordiniert" bedeutet, dass eine Schwachstelle zunächst vertraulich an den Hersteller gemeldet wird. Der Entdecker kooperiert mit dem Hersteller bei Analyse und Behebung der Schwachstelle. Informationen zur Schwachstelle werden Dritten erst dann zugänglich gemacht, wenn die Risiken für die Betroffenen hinreichend minimiert werden konnten. Der Grund, warum Entdecker einer Schwachstelle diesem Prinzip häufig nicht folgen ist, dass der jeweilige Hersteller keine hinreichenden oder leicht aufzufindenden Kontaktmöglichkeiten anbietet oder nach einer schwachstellenspezifischen Kontaktaufnahme nicht mehr reagiert.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK