Den Kommunikationskanal stellen Unternehmen für ethische Hacker und Sicherheitsforscher bereit, damit diese Informationen zu gefundenen IT-Schwachstellen teilen können. Gleichzeitig bietet eine VDP einen sicheren rechtlichen Rahmen für diejenigen, die eine Schwachstelle finden. Umgesetzt wurde sie zusammen mit der Bug-Bounty-Plattform YesWeHack. Ein Interview mit Jean-Yves Le Breton, Product Security Manager bei GfK, zu den Hintergründen des VDP .
Jean-Yves Le Breton: Mein Team ist für die Produktsicherheit zuständig, als Teil eines globalen IT Security Teams mit mehr als 30 Mitarbeitern, die an verschiedenen Standorten tätig sind, mit den wichtigsten Zentren in Großbritannien, Bulgarien, Deutschland und Malaysia. Das Team besteht aus drei Gruppen: den Pentestern, auch bekannt als „Breaker“, den DevSecOps-Ingenieuren, auch „Builder“ genannt, und den „Verteidigern“. Wir arbeiten hauptsächlich mit Entwicklungs- und Anwendungsteams und helfen anderen Abteilungen bei ihren Sicherheitsanforderungen und ihrer Sicherheitslage. Unsere Analysten arbeiten hauptsächlich mit Webanwendungen sowie Penetrationstests und sind für viele Schwachstellen- und Scan-Tools sowie DevSecOps-Aktivitäten verantwortlich.
Vor etwa eineinhalb Jahren waren wir überzeugt, wir sind jetzt reif genug, um externes Feedback als Teil unserer Sicherheitsstrategie in Betracht zu ziehen. Es gab Bedenken, „Hacker“ dazu einzuladen, unsere Lösungen auf den Prüfstand zu stellen. Die Einführung der VDP im Juni 2022 haben wir als Vorstufe genutzt, bevor wir ein Bug Bounty-Programm starteten. Wir wollten damit einen Business Case dafür herstellen, wie wir das Feedback von Sicherheitsforschern nutzen können. Unser Ziel war es, zu zeigen, dass wir mit diesem passiven Ansatz einige interessante Berichte erhalten können.
Die drei wichtigsten Kriterien waren zunächst, eine schnelle und professionelle Triage. Ein internes Team bei YesWeHack führt die Triage durch, bewertet also eingehende Reports und leitet sie dann umgehend an uns weiter. Zweitens hatten wir während des Austauschs mit dem Team den Eindruck, dass wir von YesWeHack viel mehr Engagement erhalten würden als von anderen Plattformen, mit denen wir gesprochen haben. Und nicht zuletzt war die Einhaltung der GDPR und des Datenschutzes entscheidend. GfK hat seinen Hauptsitz in Deutschland und die meisten unserer größten Kunden sind in der EU ansässig. Wir halten uns an die lokalen Gesetze bezüglich GDPR und nehmen die Datensicherheit ernst, daher wollten wir sicherstellen, dass unser Partner dies auch tut.
Im Laufe der Jahre hatte GfK Berichte von Sicherheitsforschern erhalten, mit Hilfe derer wir mögliche Fehlkonfigurationen erkennen konnten. Dabei handelte es sich nicht unbedingt um tatsächliche Sicherheitsprobleme, sondern um Themen, die wir aber untersuchen und angehen wollten. Wir waren der Meinung, dass wir einen zentralen Weg für die Sammlung dieser Berichte und einen effizienteren internen Prozess für den Umgang mit externem Sicherheitsfeedback brauchten. Wir waren davon überzeugt, dass die Einrichtung einer VDP uns dabei helfen würde, einen transparenten und sicheren Kanal für Sicherheitsforscher zu schaffen.
Gleichzeitig war die VDP-Einführung auch ein Signal an die breitere Security Community, dass Sicherheit bei uns einen hohen Stellenwert hat. Sie zeigt, dass wir ihre Meldungen an- und ernst nehmen, und dafür sorgen, dass die Hinweise auch effizient bearbeitet werden. Wir versuchen, eine Zusammenarbeit mit den Sicherheitsforschern zu fördern, die wir ohne diesen Prozess vielleicht nicht hätten.
Schließlich zeigt die Maßnahme auch, dass wir uns verbessern wollen. Als Sicherheitsexperten sind wir immer auf der Suche nach Feedback. Wir wollen sehen, wie wir im Rahmen unserer Anwendung die Sicherheit unserer Produkte verbessern können.
Bevor wir unsere VDP einführten, erhielten wir die meisten Meldungen über unser Online-Kontaktformular, da es keine spezielle E-Mail-Adresse für das Sicherheitsteam gab. Einige Forscher wandten sich auch an unsere Rechts- oder Datenschutzteams, die die Angelegenheit dann an uns weiterleiteten. Die Policy hilft, den Kontaktprozess zu beschleunigen. Wir wissen, dass die Berichte, die wir erhalten, sofort bei der richtigen Person ankommen. Es verhindert, dass die Forscher denken, wir seien nicht an ihren Berichten interessiert.
Ein weiterer erwähnenswerter Aspekt ist das Setup der Plattform. Es ist zum Beispielein Mindeststandard bei der Einreichung erforderlich, im Gegensatz zu einer E-Mail mit nur einem Screenshot und ein paar Zeilen, die die Schwachstelle beschreiben.
Aus technischer Sicht war der Prozess ziemlich einfach. Es dauerte nur ein paar Stunden, um den Inhalt der VDP mit dem YesWeHack-Team aufzusetzen. Danach wurde der Text schnell von unserer Rechtsabteilung überprüft.
Interessanter ist jedoch unser interner Prozess zur Einrichtung der VDP: Wir, das Infosec-Team, mussten mit mehreren anderen Abteilungen sprechen, wie etwas Datenschutz, Recht, Marketing oder PR. Wir wollten sicherzustellen, dass alle über das VDP-Programm informiert waren. Dabei erklärten wir, was wir tun, was wir zu erreichen versuchten und warum, um sie an Bord zu holen. Das hat sich gelohnt, denn es hat einen kollaborativen Ansatz aufgezeigt, wie wir mit anderen Abteilungen in puncto Sicherheit interagieren.
Und wir haben die VDP nicht einfach nur veröffentlicht: Wir haben dafür gesorgt, dass unsere Unternehmenswebsite auf unsere VDP verweist und dass die Seite mit den Datenschutzinhalten aktualisiert wurde, um den gesamten VDP-Prozess einzubeziehen.
Wir befinden uns auf einer langen Reise, auf der wir versuchen, unsere Sicherheit kontinuierlich zu verbessern. GfK ist eine komplexe und breit gefächerte Organisation, daher suchen wir nach Möglichkeiten, unsere VDP zu optimieren und sicherzustellen, dass Sicherheitsforscher leicht darauf zugreifen können. Zu diesem Zweck stellen wir sicher, dass alle unsere Webanwendungen eine gültige security.txt-Datei haben und dass in unserer gesamten Kommunikation unsere VDP erwähnt wird.
Außerdem denke ich, dass wir jetzt bereit sind, unser Bug Bounty-Programm zu starten. Diesen Schritt ziehen wir schon seit einiger Zeit in Erwägung. Wir wollen mit einem privaten Bug-Bounty-Programm für einige unserer wichtigsten Produkte beginnen. Damit erhalten wir aktiveres Feedback von der Security Community – und liefern sicherere Produkte.
Wir haben übrigens festgestellt, dass sich immer mehr unserer Kunden vergewissern, dass wir die richtigen Prozesse eingeführt haben. Sie fragen uns, ob wir eine VDP oder ein Bug-Bounty-Programm haben. Wir können definitiv feststellen, dass die Branche in Bewegung ist und dass Crowdsourced Security mehr und mehr zu einem elementaren Bestandteil einer ausgereiften Sicherheitsstrategie wird.
ist Product Security Manager bei GfK. GfK ist ein Anbieter von Daten und Analysen für die Konsumgüterindustrie. Das Unternehmen unterstützt mit über 8.000 Mitarbeitern mehr als 10.000 Kunden weltweit bei geschäftskritischen Entscheidungsprozessen rund um Verbraucher, Märkte, Marken und Medien mit verlässlichen Daten und Erkenntnissen, kombiniert mit KI.
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…
Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.
Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…