Ein “Hacker” hat Sie kontaktiert um vermeintliche Sicherheitslücken zu melden? Das hat wahrscheinlich schon jeder, der eine Webseite betreibt, einmal erlebt. Doch was bedeutet das nun für Sie und Ihr Unternehmen? Welche Schritte sollten Sie kurz- und langfristig ergreifen?

Im Kern stellen sich natürlich zunächst als erstes die folgenden Fragen: “Stimmt das was die Person auf der anderen Seite behauptet? Und falls ja, welche Implikationen hat das für Sie und Ihr Unternehmen?”.

Sollten Sie bei der Beantwortung dieser Fragen Unterstützung benötigen, stehe ich Ihnen gerne als Freelancer für IT-Sicherheitsberatung zur Verfügung: +49 151 12059413 consulting@lauritz-holtmann.de LinkedIn WhatsApp

Kurzfristige Reaktion

Kurzfristig sollten Sie mindestens die nachfolgenden Schritte ergreifen, um den geschilderten Sicherheitslücken nachzugehen:

1. Ruhe bewahren. Niemandem ist geholfen, falls Sie jetzt überhastet die falschen Entscheidungen treffen.
2. Den richtigen Ansprechpartner in Ihrem Unternehmen identifizieren. Gibt es bei Ihnen bereits einen Prozess für IT-Sicherheitsvorfälle? Falls nein, sollten Sie zunächst die Person ausfindig machen, welche Ihrer Meinung nach die technische Expertise mitbringt das berichtete IT-Sicherheitsproblem zu evaluieren.
   Wichtig: Sollten Sie das Gefühl haben, die berichtete Sicherheitslücke nicht ausreichend einordnen zu können, holen Sie sich externe Unterstützung!
3. Lassen Sie sich nicht erpressen! Häufig stellen unseriöse “Sicherheitsforscher” unmittelbar mit der ersten E-Mail die Forderung nach monetärer Entlohnung, oder stellen weitere Schwachstellen im Gegenzug zu vorheriger Bezahlung in Aussicht. Lassen Sie sich auf keinen Fall auf dieses unmoralische Angebot ein!¹

Langfristig gut aufgestellt sein

Nachdem der konkreten Schwachstellen nachgegangen wurde, stellt sich natürlich die Frage, wie Sie mit kommenden Schwachstellenmeldungen umgehen können. Langfristig sollten Sie sich daher über die Nachfolgenden Punkte in Ihrem Unternehmen Gedanken machen:

Intern:

• Haben Sie bereits einen Prozess für eingehende Schwachstellenmeldungen?
• Wer ist der erste Ansprechpartner, wer übernimmt die Kommunikation mit dem “Hacker” und gibt es vielleicht sogar schon E-Mailvorlagen für den Erstkontakt?
• Wissen alle potentiellen Anlaufstellen (Vertrieb, Customer Support, …) von dem Prozess zur Meldung von Schwachstellen und können Anfragen ggf. weiterleiten?

Extern:

Gibt es eine Anlaufstelle für Sicherheitsforscher? Worst-case wäre es ja schließlich, falls jemand mit guten Absichten Ihnen legitime Schwachstellen melden möchte, aber keinen Ansprechpartner identifizieren kann. Ein Industriestandard hierfür ist beispielsweise die security.txt², in welcher als Minimum eine E-Mailadresse definiert werden kann, über welche die Verantwortlichen in Ihrem Unternehmen erreicht werden können.