Vulnerability Disclosure Policy im Einsatz bei GfK

Den Kommunikationskanal stellen Unternehmen für ethische Hacker und Sicherheitsforscher bereit, damit diese Informationen zu gefundenen IT-Schwachstellen teilen können. Gleichzeitig bietet eine VDP einen sicheren rechtlichen Rahmen für diejenigen, die eine Schwachstelle finden. Umgesetzt wurde sie zusammen mit der Bug-Bounty-Plattform YesWeHack. Ein Interview mit Jean-Yves Le Breton, Product Security Manager bei GfK, zu den Hintergründen des VDP .

Was genau sind die Aufgaben des Sicherheitsteams bei GfK?

Jean-Yves Le Breton: Mein Team ist für die Produktsicherheit zuständig, als Teil eines globalen IT Security Teams mit mehr als 30 Mitarbeitern, die an verschiedenen Standorten tätig sind, mit den wichtigsten Zentren in Großbritannien, Bulgarien, Deutschland und Malaysia. Das Team besteht aus drei Gruppen: den Pentestern, auch bekannt als „Breaker“, den DevSecOps-Ingenieuren, auch „Builder“ genannt, und den „Verteidigern“. Wir arbeiten hauptsächlich mit Entwicklungs- und Anwendungsteams und helfen anderen Abteilungen bei ihren Sicherheitsanforderungen und ihrer Sicherheitslage. Unsere Analysten arbeiten hauptsächlich mit Webanwendungen sowie Penetrationstests und sind für viele Schwachstellen- und Scan-Tools sowie DevSecOps-Aktivitäten verantwortlich.

Was waren für Sie di Gründe für die Einführung der Vulnerability Disclosure Policy?

Vor etwa eineinhalb Jahren waren wir überzeugt, wir sind jetzt reif genug, um externes Feedback als Teil unserer Sicherheitsstrategie in Betracht zu ziehen. Es gab Bedenken, „Hacker“ dazu einzuladen, unsere Lösungen auf den Prüfstand zu stellen. Die Einführung der VDP im Juni 2022 haben wir als Vorstufe genutzt, bevor wir ein Bug Bounty-Programm starteten. Wir wollten damit einen Business Case dafür herstellen, wie wir das Feedback von Sicherheitsforschern nutzen können. Unser Ziel war es, zu zeigen, dass wir mit diesem passiven Ansatz einige interessante Berichte erhalten können.

Bug Bounty-Programme gibt es inzwischen viele. Welche Kriterien waren für die Auswahl entscheidend?

Die drei wichtigsten Kriterien waren zunächst, eine schnelle und professionelle Triage. Ein internes Team bei YesWeHack führt die Triage durch, bewertet also eingehende Reports und leitet sie dann umgehend an uns weiter. Zweitens hatten wir während des Austauschs mit dem Team den Eindruck, dass wir von YesWeHack viel mehr Engagement erhalten würden als von anderen Plattformen, mit denen wir gesprochen haben. Und nicht zuletzt war die  Einhaltung der GDPR und des Datenschutzes entscheidend. GfK hat seinen Hauptsitz in Deutschland und die meisten unserer größten Kunden sind in der EU ansässig. Wir halten uns an die lokalen Gesetze bezüglich GDPR und nehmen die Datensicherheit ernst, daher wollten wir sicherstellen, dass unser Partner dies auch tut.

Warum haben Sie überhaupt bei GfK eine Richtlinie zur Offenlegung von Schwachstellen eingeführt?

Im Laufe der Jahre hatte GfK Berichte von Sicherheitsforschern erhalten, mit Hilfe derer wir mögliche Fehlkonfigurationen erkennen konnten. Dabei handelte es sich nicht unbedingt um tatsächliche Sicherheitsprobleme, sondern um Themen, die wir aber untersuchen und angehen wollten. Wir waren der Meinung, dass wir einen zentralen Weg für die Sammlung dieser Berichte und einen effizienteren internen Prozess für den Umgang mit externem Sicherheitsfeedback brauchten. Wir waren davon überzeugt, dass die Einrichtung einer VDP uns dabei helfen würde, einen transparenten und sicheren Kanal für Sicherheitsforscher zu schaffen.

Gleichzeitig war die VDP-Einführung auch ein Signal an die breitere Security Community, dass Sicherheit bei uns einen hohen Stellenwert hat. Sie zeigt, dass wir ihre Meldungen an- und ernst nehmen, und dafür sorgen, dass die Hinweise auch effizient bearbeitet werden. Wir versuchen, eine Zusammenarbeit mit den Sicherheitsforschern zu fördern, die wir ohne diesen Prozess vielleicht nicht hätten.

Schließlich zeigt die Maßnahme auch, dass wir uns verbessern wollen. Als Sicherheitsexperten sind wir immer auf der Suche nach Feedback. Wir wollen sehen, wie wir im Rahmen unserer Anwendung die Sicherheit unserer Produkte verbessern können.

Wie haben Sie vor Ihrer Offenlegungspolitik für Schwachstellen Meldungen erhalten?

Bevor wir unsere VDP einführten, erhielten wir die meisten Meldungen über unser Online-Kontaktformular, da es keine spezielle E-Mail-Adresse für das Sicherheitsteam gab. Einige Forscher wandten sich auch an unsere Rechts- oder Datenschutzteams, die die Angelegenheit dann an uns weiterleiteten. Die Policy hilft, den Kontaktprozess zu beschleunigen. Wir wissen, dass die Berichte, die wir erhalten, sofort bei der richtigen Person ankommen. Es verhindert, dass die Forscher denken, wir seien nicht an ihren Berichten interessiert.

Ein weiterer erwähnenswerter Aspekt ist das Setup der Plattform. Es ist zum Beispielein Mindeststandard bei der Einreichung erforderlich, im Gegensatz zu einer E-Mail mit nur einem Screenshot und ein paar Zeilen, die die Schwachstelle beschreiben.

Welche Schritte waren für den Aufbau des VDPs mit YesWeHack notwendig?

Aus technischer Sicht war der Prozess ziemlich einfach. Es dauerte nur ein paar Stunden, um den Inhalt der VDP mit dem YesWeHack-Team aufzusetzen. Danach wurde der Text schnell von unserer Rechtsabteilung überprüft.

Interessanter ist jedoch unser interner Prozess zur Einrichtung der VDP: Wir, das Infosec-Team, mussten mit mehreren anderen Abteilungen sprechen, wie etwas Datenschutz, Recht, Marketing oder PR. Wir wollten sicherzustellen, dass alle über das VDP-Programm informiert waren. Dabei erklärten wir, was wir tun, was wir zu erreichen versuchten und warum, um sie an Bord zu holen. Das hat sich gelohnt, denn es hat einen kollaborativen Ansatz aufgezeigt, wie wir mit anderen Abteilungen in puncto Sicherheit interagieren.

Und wir haben die VDP nicht einfach nur veröffentlicht: Wir haben dafür gesorgt, dass unsere Unternehmenswebsite auf unsere VDP verweist und dass die Seite mit den Datenschutzinhalten aktualisiert wurde, um den gesamten VDP-Prozess einzubeziehen.

Planen Sie weitere Schritte rund um das VDP?

Wir befinden uns auf einer langen Reise, auf der wir versuchen, unsere Sicherheit kontinuierlich zu verbessern. GfK ist eine komplexe und breit gefächerte Organisation, daher suchen wir nach Möglichkeiten, unsere VDP zu optimieren und sicherzustellen, dass Sicherheitsforscher leicht darauf zugreifen können. Zu diesem Zweck stellen wir sicher, dass alle unsere Webanwendungen eine gültige security.txt-Datei haben und dass in unserer gesamten Kommunikation unsere VDP erwähnt wird.

Außerdem denke ich, dass wir jetzt bereit sind, unser Bug Bounty-Programm zu starten. Diesen Schritt ziehen wir schon seit einiger Zeit in Erwägung. Wir wollen mit einem privaten Bug-Bounty-Programm für einige unserer wichtigsten Produkte beginnen. Damit erhalten wir aktiveres Feedback von der Security Community – und liefern sicherere Produkte.

Wir haben übrigens festgestellt, dass sich immer mehr unserer Kunden vergewissern, dass wir die richtigen Prozesse eingeführt haben. Sie fragen uns, ob wir eine VDP oder ein Bug-Bounty-Programm haben. Wir können definitiv feststellen, dass die Branche in Bewegung ist und dass Crowdsourced Security mehr und mehr zu einem elementaren Bestandteil einer ausgereiften Sicherheitsstrategie wird.

Jean-Yves Le Breton

ist Product Security Manager bei GfK. GfK ist ein Anbieter von Daten und Analysen für die Konsumgüterindustrie. Das Unternehmen unterstützt mit über 8.000 Mitarbeitern mehr als 10.000 Kunden weltweit bei geschäftskritischen Entscheidungsprozessen rund um Verbraucher, Märkte, Marken und Medien mit verlässlichen Daten und Erkenntnissen, kombiniert mit KI.

Roger Homrich

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago