Im Rahmen der diesjährigen IT-Security-Messe it-sa stellt YesWeHack, Europas führende Plattform für Bug Bounty und Vulnerability Disclosure Policy (VDP), eine neue Lösung vor: MyOpenVDP wurde von YesWeHack als OpenSource-Programm entwickelt, um die verantwortungsvolle Offenlegung von IT-Schwachstellen zu fördern.
Offenlegnung von IT-Schwachstellen vereinfachen
Mit MyOpenVDP sind Organisationen in der Lage, ihre Prozesse für die Offenlegung von Schwachstellen zu koordinieren und zu verbessern: Wird eine Schwachstelle von ethischen Hackern, Kunden oder Mitarbeitenden entdeckt, sollten unternehmensintern entsprechende Prozesse etabliert sein, damit die richtigen Personen informiert werden und die Schwachstelle schnellstmöglich behoben werden kann. MyOpenVDP ist eine einfach zu bedienende und OpenSource-basierte Web-Lösung, die es jedem ermöglicht, VDP-Prozess selbst zu hosten. Sie basiert auf der umfassenden Erfahrung von YesWeHack nicht nur im Bereich Cybersicherheit in Europa, sondern auch beim Aufbau und der Begleitung von Coordinated-Vulnerability-Disclosure-Programmen (CVD) sowie im Bereich der CVD-Ethik, -Transparenz und -Compliance mit Gesetzen und Regularien.
Neben MyOpenVDP wird YesWeHack weiterhin seine vollständig verwaltete und integrierte Lösung für die einfache Verwaltung von Schwachstellenberichten in großem Umfang anbieten. Unternehmen, die VDP in größerem Umfang nutzen wollen, können jederzeit auf die kostenpflichtige Lösung aufrüsten. Diese ist individuell auf Unternehmen anpassbar und in die YesWeHack-Plattform integriert, was es Unternehmen ermöglicht, ihre Schwachstellenberichte zu verwalten und zu kontrollieren.
Cybersicherheit als „öffentliches Gut“
„Mit der fortschreitenden Digitalisierung unseres Alltags wird das Risiko von Cyberangriffen, die bestehende Schwachstellen in IT-Systemen ausnutzen, stetig zunehmen. Daher ist es jetzt an der Zeit, einen neuen Ansatz für Cybersicherheit zu finden. Zwei Aspekte sind dafür relevant: Transparenz im Umgang mit Schwachstellen und das Verständnis von Cybersicherheit als öffentliches Gut“, erklärt Phil Leatham, Senior Account Executive Deutschland von YesWeHack.
- Jede Organisation sollte so transparent wie möglich mit aufgedeckten Schwachstellen umgehen. So bauen sie bei Nutzer:innen neuer Technologien Vertrauen auf. Diese müssen sich darauf verlassen können, dass die Anwendung, die sie nutzen möchten, ausreichend sicher ist.
- Der Ansatz, Cybersicherheit als öffentliches Gut anzusehen, führt dazu, dass die Kosten gleichmäßig auf alle Beteiligten verteilt wird. Wie bei anderen öffentlichen Gütern, etwa der Straßenbeleuchtung, könnte der öffentliche Sektor bestimmte Standards festlegen oder selbst einen Teil der Kosten übernehmen. Die Nutzer:innen würden dann über Steuern einen Teil davon finanzieren. Gleichzeitig führt dieser Ansatz zu einer breiteren Aufgabenverteilung zwischen den Beteiligten und fördert so die Zusammenarbeit.
„Es wurden bereits viele Initiativen auf den Weg gebracht, um die Offenlegung von Schwachstellen als Thema in der Öffentlichkeit zu etablieren und ein starkes politisches Engagement für dieses Ziel zu fördern“, so Phil Leatham weiter. „Doch leider fehlt diesen Maßnahmen oft ein effizienter Dialog, der allen – einschließlich den ethischen Hackern – die Möglichkeit bietet, sich umfassend und transparent zu beteiligen. Mit MyOpenVDP wollen wir unseren Beitrag dazu leisten, die Zusammenarbeit bei der schnellen Behebung von Sicherheitslücken zu verbessern.“
Weitere Informationen zu MyOpenVDP sowie zu den politischen Entwicklungen in diesem Kontext finden Sie hier.