Was tun, wenn's brennt?

Historisch gesehen hatten es Überbringer schlechter Nachrichten nie leicht. Auch wenn es unüblich geworden ist, sie gleich zu töten, sind die Methoden, um die Boten zu drangsalieren, heute vielfältiger und kreativer geworden.

Die meisten Hacker, die Schwachstellen entdecken, gehen damit verantwortungsvoll um: Sie schreiben dem Hersteller einen kurzen Bericht über die Lücke und geben ihm zum Beheben Zeit, bevor die Information öffentlich gemacht wird. Ein solches Vorgehen ist normal, und wird als "Coordinated Disclosure" oder "Responsible Disclosure" bezeichnet.

Doch auch innerhalb der Hacker-Community ist der Umgang mit solchen Fällen vielfältig. Wir haben schon alles gesehen: Angefangen bei Hackern, die mit Bug-Bounty-Programmen für ihre Arbeit belohnt werden, bis hin zu rechtlichen Schritten gegen die ehrenamtliche "Qualitätssicherung" eigener Produkte – teils unter hanebüchnen Vorwänden.

In diesem Vortrag wird ein wenig aus dem Nähkästchen der Sicherheitsforscher geplaudert. Am Ende sind Sie hoffentlich alle für den Ernstfall gewappnet: Forscher melden Schwachstellen in Ihrem System – und Sie gehen verantwortungsvoll mit den Informationen und den Botinnen und Boten dieser schlechten Nachrichten um. Die "Dos & Don'ts" gelten allerdings für alle Parteien: Auch die kreativen Köpfe der Hacker-Community sollten sich an gewisse Spielregeln halten.

Vorkenntnisse

Besucher*innen sollten schon mal von Sicherheitslücken gehört haben – und von Hackern, die Sicherheitslücken an betroffene Firmen melden.

Lernziele

* Verbesserung der internen QA- und Secure-Development-Lifecycle-Prozesse
* Vorausschauendes Krisenmanagement und Umgang mit eigenen Fehlern (#failosophy).
* Transparenz nach außen und somit Vertrauen fördern, auch in Firmen mit proprietären Leitbildern.

 

Speaker

 

Thorsten Schröder
Thorsten Schröder arbeitet in seiner 2011 gegründeten schweizer-deutschen Firma modzero AG als IT-Sicherheitsberater für große und mittelständische Unternehmen. Als "bezahlter Hacker" greift er im Kundenauftrag Software- und Hardwareprodukte an, um deren Sicherheit zu testen. Mit dem Chaos Computer Club kämpft er für mehr digitale Grundrechte und gehört zu den Hackern, die immer irgendwas zu hacken haben werden.

Gold-Sponsoren

WIBU Systems
Xanitizer

Silber-Sponsoren

Cologne Intelligence
Wings-Fernstudium

heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden