Deutsche Gesellschaft für Cybersicherheit

Verantwortungsbewusste Veröffentlichungen der Deutschen Gesellschaft für Cybersicherheit

Wir suchen aktiv nach Schwachstellen und veröffentlichen sie auf verantwortungsvolle Weise

Die Deutsche Gesellschaft für Cybersicherheit ermittelt, auch ohne Auftrag, Schwachstellen in Softwareprodukten und Netzwerkumgebungen. Sofern wir eine Schwachstelle identifiziert haben, wird diese auf verantwortungsvolle Weise in unserem Blog veröffentlicht und ggf. im CVE-Verzeichnis eingetragen.

Unsere Vorgehensweise der verantwortungsvollen Veröffentlichung orientiert sich an der koordinierten Leitlinien für die Offenlegung (Coordinated Vulnerability Disclosure Guidance) des CERT.

Die verantwortungsvolle Veröffentlichung sieht vor, dass als erstes der Hersteller schriftlich über die entdeckte Schwachstelle informiert wird. Sofern der Hersteller eine Lösung bereitgestellt hat, oder 28 Tage nachdem dieser vertraulich auf die Schwachstelle aufmerksam gemacht wurde, werden detaillierte Informationen zu der Schwachstelle veröffentlicht. Dies kann auch ohne Lösung oder Workaround der Fall sein.

Unter der Voraussetzung, dass der Hersteller eine schriftlich begründete Erklärung abgibt, kann von dieser Zeitspanne abgewichen werden und ein Zeitpunkt für die koordinierte Veröffentlichung der Schwachstelle abgestimmt werden.

Auf diese Weise kommt es zu einem guten Kompromiss zwischen den Interessen der Öffentlichkeit und den Interessen von Unternehmen.

Unserem Ziel, das Internet sicherer zu machen, kommen wir durch dieses Vorgehen ein Stück näher.