[datensicherheit.de, 17.05.2016] Nach eigenen Angaben hat Palo Alto Networks zusammen mit mehr als zwei Dutzend anderer Unternehmen und Organisationen das „Coordinated Vulnerability Disclosure Manifesto“ unterzeichnet. Dieses Manifest fordert die Zusammenarbeit zwischen den Unternehmen und der Cyber-Sicherheits-Community, um Schwachstellen in der Informations- und Kommunikationstechnologie zu finden und zu beheben.

Aufdeckung von Schwachstellen zur Prävention

Im Rahmen einer koordinierten Offenlegung sollen Schwachstellen dem Besitzer des Informationssystems mitgeteilt werden, um dem Unternehmen die Möglichkeit zu geben, die Sicherheitslücke zu diagnostizieren und zu beheben, bevor Informationen an Dritte oder die Öffentlichkeit herausgegeben werden. Dies solle ein Ausnutzen der Schachstellen durch Cyber-Kriminelle verhindern.

Notwendigkeit der Koordination für mehr Cyber-Sicherheit

Palo Alto Networks betont die Notwendigkeit der Koordination für die Cyber-Sicherheit, denn die Komplexität und Abhängigkeit von IKT-Produkten und -Diensten wachse und Cyber-Kriminelle agierten immer ausgefeilter, so steige auch die Zahl der Schwachstellen.
„Die Zusammenarbeit zwischen denjenigen, die eine Schwachstelle finden könnten, und denjenigen, die sie beheben können, ist von unschätzbarem Wert. Letztlich profitieren alle Beteiligten von einer sicheren digitalen Infrastruktur“, erklärt René Bonvanie, „Executive Vice President & Chief Marketing Officer“ bei Palo Alto Networks. Außerdem demonstriere dieses Manifest die proaktive Führungsrolle der Branche bei der Verbesserung der Cyber-Sicherheit.

Weitere Informationen zum Thema:

enisa, 12.05.2016
From the Netherlands Presidency of the EU Council: Coordinated vulnerability disclosure Manifesto signed

[datensicherheit.de, 08.11.2011] Secunia hat am 2. November 2011 ein neues Programm gestartet, in dessen Rahmen Secunia unabhängig vom Softwarehersteller die Aufdeckung von Sicherheitslücken bestätigen und mithilfe von Experten die weitere Koordination mit den Herstellern durchführen will:
Das Programm „Secunia Vulnerability Coordination Reward Programme” (SVCRP) soll Experten die Möglichkeit bieten, entdeckte
Sicherheitslücken in jeglicher Software durch Dritte zu bestätigen und den Koordinationsprozess mit dem Softwarehersteller durchführen zu lassen. Als Teil des Programms würden diejenigen Experten honoriert, die mit Secunia in Verbindung treten, um Schwachstellen zu melden und diese über Secunia mit den Herstellern koordinieren zu lassen. Diese weitreichende Initiative sei entwickelt worden, um Programme anderer Unternehmen zu ergänzen, und werde alle Schwachstellen entsprechende den Secunia-Kriterien berücksichtigen.
Einige Forscher hätten sich in der Vergangenheit mit formlosen Supportanfragen an Secunia gewandt. Der IT-Sicherheitsexperte möchte jetzt mehr Experten durch einen Bonus dazu ermutigen, die Koordinationsaufgaben für aufgedeckte Schwachstellen von dem Unternehmen durchführen zu lassen. Der größte Vorteil unabhängiger Forscher ergebe sich durch Secunias Expertise, Schwachstellen zu bewerten und zu bestätigen, wodurch den Experten somit Zeit und Aufwand erspart würden, indem Secunia die Schließung der Sicherheitslücken auf direktem Weg mit den Herstellern abstimme. Vorteile für die Hersteller lägen in der detaillierten Überprüfung der Schwachstellenreports durch Secunia, die das Kernproblem der Codes herausarbeiteten. In der Folge erhielten die Hersteller sehr präzise Informationen zu den Sicherheitslücken und würden von Secunia in der vollständigen Behebung der Schwachstellen unterstützt; es werde auch sichergestellt, dass die Erläuterung von Sicherheitslücken bereits vor Produktlaunch von neuen Patches korrekt erfolge. Daraus resultiere eine schnellere Untersuchung und gründliche Behebung von Software-Problemen. Zusätzlich profitierten sowohl die Forscher als auch die Hersteller von Secunia in der Rolle als zuverlässiger und unabhängiger Vermittler.
Die Anwender würden Vorteile erlangen, da Secunia durch den umfassenden Koordinationsprozess von Sicherheitslücken mit den Forschern auch vermehrt mit den Herstellern in Kontakt treten werde. Folglich würden zukünftig mehr Lösungen zu Software-Problemen ermittelt, die allgemeine Zuverlässigkeit von Software wird verbessert und letztendlich ein effizienteres Arbeiten erzielt.

Die meisten Anwendungen mit Sicherheitslücken sollen sich für das „SVCR-Programm“ eignen – folgende Kriterien müssten erfüllt sein:

• Die Sicherheitslücke befindet sich innerhalb einer stabilen Version der Anwendung.
• Die Sicherheitslücke befindet sich innerhalb der aktuellen Version der Anwendung.
• Die Anwendung wird vom Hersteller weiterhin unterstützt.
• Die Sicherheitslücke ist der Öffentlichkeit noch nicht bekannt.
• Secunia kann die gemeldete Sicherheitslücke bestätigen.

Alle Kunden Secunias sowie die gesamte Community sollen die Informationen gleichzeitig erhalten, sobald diese von den Gutachtern bei Secunia veröffentlicht werden.
Die Wissenschaftler würden auch weiterhin Zahlungen von Softwareherstellern für ihre Koordinationsarbeit bei Sicherheitslücken erhalten. Secunia werde die Sicherheitslücken mittels aufwändiger Tests in unabhängigen Forschungseinrichtungen prüfen und bestätigen, erhalte allerdings von den Herstellern kein Geld oder andere Gegenleistungen, weder für die Koordination noch für die Untersuchungen selbst.
Die Boni für die Aufdeckung von Schwachstellen reichten von hochwertigen Merchandise-Artikeln bis zu zwei jährlich verliehenen Preisen, wie den Besuch einer IT-Sicherheitskonferenz aus einer Auswahl der weltweit beliebtesten Veranstaltungen, inklusive Übernachtung im Hotel. Diese Preise verleihe Secunia im Januar 2012 das erste Mal überhaupt. Eine Auszeichnung bekomme der Experte, der die Abwicklung der interessantesten Sicherheitslücke koordiniert. Diese Lücke werde von Secunia in der Kategorie „Interessantester Koordinationsreport“ bewertet. Die Kriterien für die Nominierung beinhalteten Komplexität, Auswirkungen, Ebene sowie Detailgrad. Die andere Auszeichnung werde an denjenigen Wissenschaftler vergeben, der kontinuierlich richtige und klar detaillierte Schwachstellenreports koordiniert habe, die schnell und einfach von Secunia hätten bestätigt werden können. Dieser Forscher erhalte von Secunia die Auszeichnung „Wertvollster Beitrag”. Secunia werde auch weiterhin Boni an Forscher vergeben, die die Entdeckungen von Sicherheitslücken koordinieren, basierend auf der individuellen Leistung. Die Teilnahme am Programm sei kostenlos und bedürfe keiner Registrierung.

Weitere Informationen zum Thema:

Secunia
Secunia Vulnerability Coordination Reward Program (SVCRP)