Yeswehack lanciert Service für Erstellung einer Vulnerability Disclosure Policy

6. Oktober 2020 um 14:59
  • security
  • datenschutz
  • lücke
  • yeswehack
  • channel
image

Wer klare Vulnerability-Disclosure-Regeln hat, könnte von ethischen Hackern wertvolle Gratis-Hinweise zu Schwachstellen in seiner Security erhalten.

Es gibt auf dieser Welt nicht nur böse Hacker, sondern auch ethische Hacker. Wenn sie in einem Unternehmensnetzwerk oder einem Produkt eines Unternehmens ein Sicherheitsproblem finden, würden sie dies oft gerne melden. Aber wenn ein Unternehmen, wie das sehr oft der Fall ist, keine oder keine klare Vulnerability Disclosure Policy (VDP) hat, weiss ein solcher Hacker nicht, wo und wie er Schwachstellen melden soll. Und ausserdem, argumentiert das Unternehmen Yeswehack, würden solche Meldungen oft als Angriffsversuch interpretiert. Deshalb nehmen viele ethische Hacker das Risiko einer Schwachstellenmeldung nicht auf sich, wenn es keine ausgewiesene VDP gibt.
Yeswehack ist ein französisches Unternehmen, das Bug-Bounty-Programme und Penetration-Tests organisiert. Nun versucht es, sich mit einem neuen Service ein neues Geschäftsfeld zu eröffnen und bietet Unternehmen neu auch Hilfe bei der Erstellung von VDPs an. Eine VDP, so betont Yeswehack, sei nicht das gleiche wie ein Bug-Bounty-Programm. Eine VDP sei ein passiver Ansatz: Sie biete einen sicheren Kommunikationskanal für jeden, der in guter Absicht einen Fehler melden möchte. Finanzielle Anreize gibt es dabei nicht: Die Belohnung für eine Meldung einer Sicherheitslücke kann schlicht ein herzliches Dankeschön sein.
Ein Bug-Bounty-Programm ein dagegen ein proaktiver Ansatz: Unternehmen laden ethische Hacker ein, Schwachstellen nach streng definierten Regeln zu identifizieren und zu melden. Dafür erhalten die Hacker dann eine vorher festgelegte, finanzielle Vergütung.
Der von Yeswehack neu angebotene VDP-Service umfasst Unterstützung bei der Ausarbeitung des Textes und Hilfe bei der Erstellung einer VDP-Seite, die in die Website des Kunden integriert wird. Ausserdem wird ein sicheres Online-Meldeformular für das Schwachstellen-Reporting zur Verfügung gestellt. Eingereichte Berichte werden laut Yeswehack durch die Speicherung eines Hinterlegungsnachweises in einer Blockchain nachverfolgbar gemacht. Optional kann man Yeswehack auch die Sichtung der Meldungen und die Kommunikation mit den Hackern überlassen.

Loading

Mehr zum Thema

image

Die Nachhaltigkeitsagenda im öffentlichen Leben umsetzen

Die öffentliche Hand strebt nach Nachhaltigkeit, setzt Ziele und kommuniziert sie. Die Herausforderung liegt in der Evaluierung der Umsetzung. Hierfür gibt es Tools, die den Impact messen, Trends beobachten und Handlungsempfehlungen aus dem Verhältnis zwischen Indikator und Ist-Zustand ableiten.

image

KMU fühlen sich schlecht über Cyber­gefahren informiert

Der Berner Gewerbeverband hat KMU zu ihren Sorgen und Problemen gefragt. Neben Fachkräftemangel und finanziellen Druck sorgen sie sich wegen Cyberrisiken.

publiziert am 24.11.2023
image

Salt bleibt auf Wachstumskurs

Der drittgrösste Schweizer Telco konnte in den ersten neun Monaten des Geschäftsjahres bei Umsatz und Betriebsgewinn zulegen.

publiziert am 24.11.2023
image

Bericht: Heikle Daten aus Concevis-Hack aufgetaucht

Bankdaten von US-Bürgern sollen im Darkweb gelandet sein, die aus dem Angriff auf den Schweizer IT-Dienstleister stammen. Der Fall wirft Fragen auf.

publiziert am 24.11.2023