Was tun, wenn's brennt?

Historisch gesehen hatten es Überbringer schlechter Nachrichten nie leicht. Auch wenn es unüblich geworden ist, sie gleich zu töten, sind die Methoden, um die Boten zu drangsalieren, heute vielfältiger und kreativer geworden.

Die meisten Hacker, die Schwachstellen entdecken, gehen damit verantwortungsvoll um: Sie schreiben dem Hersteller einen kurzen Bericht über die Lücke und geben ihm zum Beheben Zeit, bevor die Information öffentlich gemacht wird. Ein solches Vorgehen ist normal, und wird als "Coordinated Disclosure" oder "Responsible Disclosure" bezeichnet.

Doch auch innerhalb der Hacker-Community ist der Umgang mit solchen Fällen vielfältig. Wir haben schon alles gesehen: Angefangen bei Hackern, die mit Bug-Bounty-Programmen für ihre Arbeit belohnt werden, bis hin zu rechtlichen Schritten gegen die ehrenamtliche "Qualitätssicherung" eigener Produkte – teils unter hanebüchnen Vorwänden.

In diesem Vortrag wird ein wenig aus dem Nähkästchen der Sicherheitsforscher geplaudert. Am Ende sind Sie hoffentlich alle für den Ernstfall gewappnet: Forscher melden Schwachstellen in Ihrem System – und Sie gehen verantwortungsvoll mit den Informationen und den Botinnen und Boten dieser schlechten Nachrichten um. Die "Dos & Don'ts" gelten allerdings für alle Parteien: Auch die kreativen Köpfe der Hacker-Community sollten sich an gewisse Spielregeln halten.

Vorkenntnisse

Besucher*innen sollten schon mal von Sicherheitslücken gehört haben – und von Hackern, die Sicherheitslücken an betroffene Firmen melden.

Lernziele

* Verbesserung der internen QA- und Secure-Development-Lifecycle-Prozesse
* Vorausschauendes Krisenmanagement und Umgang mit eigenen Fehlern (#failosophy).
* Transparenz nach außen und somit Vertrauen fördern, auch in Firmen mit proprietären Leitbildern.