YesWeHack hilft Unternehmen beim Erstellen einer Vulnerability Disclosure Policy

YesWeHack, Europas führende Bug-Bounty-Plattform, unterstützt Unternehmen bei allen Schritten, die für eine Vulnerability Disclosure Policy (VDP) nötig sind. Eine VDP bietet einen rechtlich sicheren, strukturierten Rahmen, um Schwachstellen auf der Website, in Produkten oder Dienstleistungen eines Unternehmens zu melden.

München, 06.10.2020 /

YesWeHack, Europas führende Bug-Bounty-Plattform, unterstützt Unternehmen bei allen Schritten, die für eine Vulnerability Disclosure Policy (VDP) nötig sind. Der neue Service von YesWeHack beinhaltet unter anderem eine Beratung zum Inhalt der VDP, Unterstützung beim Erstellen einer VDP-Website sowie das Strukturieren eigereichter Berichte. Unternehmen profitieren von qualitativ hochwertigeren Berichten zu Sicherheitsschwachstellen, der Reduktion irrelevanter Berichte sowie einem geringeren internen Aufwand beim internen Schwachstellenmanagement.

Sicherer Rahmen für die koordinierte Meldung von Cybersicherheitsschwachstellen

Nicht nur kriminelle Hacker sind im Web unterwegs. Auch ethische Hacker sind auf der Suche nach Schwachstellen, um diese dem Unternehmen direkt zu melden und so einem Angriff vorzubeugen. Hat ein Unternehmen keine VDP, weiß der Hacker nicht, wo und wie Schwachstellen gemeldet werden sollen. Da solche unkoordinierten Schwachstellenmeldungen in der Vergangenheit oft als Angriffsversuch missverstanden wurden, nehmen viele ethische Hacker das Risiko einer Schwachstellenmeldung nicht auf sich, wenn es keine ausgewiesene VDP gibt. Unternehmen entgehen so wesentliche Hinweise für ihr Sicherheitsmanagement.

Eine VDP bietet einen rechtlich sicheren, strukturierten Rahmen, um Schwachstellen auf der Website, in Produkten oder Dienstleistungen eines Unternehmens zu melden. Sie stellt sicher, dass die meldenden Personen rechtlich abgesichert sind. Zudem steht eine VDP für das Engagement eines Unternehmens, seine Sicherheit auch von außen überprüfen zu lassen – ein positives Signal für Partner und Kunden, die Wert auf Sicherheit legen.

Die YesWeHack VDP-Services

Mit den VDP-Services stellt YesWeHack seine langjährige Erfahrung bei der Zusammenarbeit mit ethischen Hackern, beim Management von Sicherheitsschwachstellen sowie seine ISO 27001 zertifizierte Infrastruktur zur Verfügung und bietet Unterstützung bei den folgenden Schritten:

  • Unterstützung bei der Ausarbeitung des VDP-Textes und der Formulierung der darin enthaltenen Verpflichtungen für beide Seiten.
  • Hilfe bei der Erstellung der kundeneigenen VDP-Seite, die in die Website des Kunden integriert wird.
  • Bereitstellung eines sicheren Online-Meldeformulars für das Schwachstellen-Reporting.
  • Sichere Verschlüsselung der Berichte im Browser via PGP Verschlüsselung.
  • Rückverfolgbarkeit eingereichter Berichte durch Verankerung des Hinterlegungsnachweises in einer Blockchain.
  • Optional: Sichtung der eingereichten Berichte (einschließlich Interaktionen mit den ethischen Hackern).

Klare Abgrenzung von Bug-Bounty-Programmen

Eine VDP ist ein passiver Ansatz: Sie bietet einen sicheren Kommunikationskanal für jeden, der in guter Absicht einen Fehler melden möchte. Die Belohnung ist ein herzliches “Danke”. Im Gegensatz dazu ist Bug-Bounty ein proaktiver Ansatz: Unternehmen laden ethische Hacker ein, Schwachstellen nach streng definierten Regeln zu identifizieren und zu melden. Dafür erhalten diese dann eine vorher festgelegte, finanzielle Vergütung.

Viele Bug-Bounty-Anbieter veröffentlichen die VDP und ein parallel laufendes Bug-Bounty-Programm auf ein und derselben Website und stellen den Unterschied nicht deutlich genug heraus. Somit kann es zu Verwirrung auf Seiten der Hacker und unangenehmen Situationen für die Unternehmen kommen, denn: Bug Bounty Hunter investieren Zeit, um nach Schwachstellen zu suchen und erwarten daher eine Vergütung. Diese erhalten sie aber nicht, wenn es sich um eine VDP handelt. Unternehmen bekommen angesichts der fehlenden Abgrenzung meist zu viele Schwachstellenberichte, was intern viel Arbeit und Ressourcenengpässe verursacht.

Das mit YesWeHack erstellte VDP-Programm beugt Verwechslungen vor: Es wird auf der eigenen Website des Unternehmens veröffentlicht, eine Verwechslung mit Bug Bounty Programmen ist damit ausgeschlossen. Hacker sehen auf einen Blick, dass es sich um eine unentgeltliche Möglichkeit der Schwachstellenmeldung handelt.

Mehr Informationen zum den VDP-Services und der Verfügbarkeit für interessierte Unternehmen gibt es hier auf der Website und hier auf dem YouTube-Channel von YesWeHack.

Jetzt teilen:

Über YesWeHack

YesWeHack ist Europas führendes Bug-Bounty- und VPD-Plattform. Die Plattform bringt Unternehmen, die Sicherheitslücken in ihrer digitalen Infrastruktur schließen wollen, mit über 19.000 ethischen Hackern, bezeichnet als „Hunter“, zusammen. Die Hunter gehen nach den Regeln des Kunden vor und werden ergebnisbasiert bezahlt. Neben der Bug-Bounty-Plattform bietet YesWeHack Unterstützung bei der Erstellung einer Vulnerability Disclosure Policy (VDP) sowie eine Stellenbörse für IT-Sicherheitsexperten. Dojo, eine Lernplattform für ethische Hacker, sowie eine Ausbildungsplattform für Bildungseinrichtungen (YesWeHackEDU) gehören außerdem zum Portfolio. Unternehmen und Organisationen wie Deezer, BlaBlaCar, der Flughafen Paris und das französische Verteidigungsministerium vertrauen auf YesWeHack. Gegründet wurde YesWeHack 2013 in Frankreich. Hauptfirmensitz ist Paris. Mehr Informationen unter www.yeswehack.com

YesWeHack auf:

Pressekontakt YesWeHack

Marine Magnant
Global Field Marketing Director
Tel.:  +33 6 02 16 93 20
E-Mail: m.magnant@yeswehack.com

Kontakt PR-Agentur

Schwartz Public Relations
Sendlinger Straße 42A
D-80331 München

Team YesWeHack
E-Mail: yeswehack@schwartzpr.de

Ulrike Schinagl
Tel.: +49 (0) 89 211871-55
E-Mail: us@schwartzpr.de

Daniela Palatzky
Tel.: +49 (0) 89 211 871 71
E-Mail: dp@schwartzpr.de

Sven Kersten-Reichherzer
Tel.: +49 (0) 89 211871-36
E-Mail: sk@schwartzpr.de

Downloads

Klicken Sie auf ein Bild, um eine große Version des Bildes anzuzeigen (und dann Download per Rechtsklick).

    Weitere Beiträge
    des Kunden