Responsible Disclosure –

Wir handeln verantwortlich.

Neue, noch nicht erfasste Schwachstellen in Produkten von Drittanbietern aufzuspüren gehört zum Alltag des Greenbone-Expertenteams. Zum Beispiel in der Forschungsphase, wenn wir gerade neue Sicherheitstests entwickeln. Oder während wir unsere Kunden in einem ihrer individuellen Arbeitsumfelder weiterhelfen.

Sollten wir eine Sicherheitslücke in einem Produkt eines Drittanbieters feststellen, handelt Greenbone gemäß den Richtlinien der Responsible Disclosure. Wichtig ist uns der Eintrag als Verantwortlicher für das Finden und Dokumentieren der Schwachstelle.

Unser Vorgehen in einem Fall von Responsible Disclosure ist wie folgt:

1. Den Händler über die entdeckte Sicherheitslücke informieren und so viele Informationen wie möglich zur Verfügung stellen.

2. Den Händler anregen, Beschaffenheit, Schwere und Ausmaß der Schwachstelle offenzulegen. Greenbone stellt hierzu so viele ihm vorliegende Informationen wie möglich bereit.

3. Mit dem Händler herausfinden, ob eine einfach anwendbare Ausweichlösung den Angriffsvektor schließen kann.  Greenbone hilft hier die Wirksamkeit der Lösung zu bestätigen.

4. Absprache mit dem Händler, ob dieser selbst die Schwachstelle via seines CVE (Common Vulnerabilities and Exposures, http://cve.mitre.org/) kommuniziert oder ob Greenbone oder eine andere Instanz dies übernehmen soll. Greenbone wird in jedem Fall als Verantwortlicher für das Finden und Dokumentieren der Schwachstelle aufgeführt.

5. Wir raten dem Händler ein offizielles Security Update vorzubereiten und dabei die Ergebnisse unserer Sicherheitstests zu berücksichtigen.

6. Sollte der Händler nicht auf unseren Bericht reagieren oder unsere Versuche die Sicherheitslücke zu dokumentieren und zu kommunizieren anderweitig ignorieren, wird Greenbone die Kommunikation der Sicherheitslücke eigenverantwortlich übernehmen.

Dieser Fall tritt ein, wenn wir innerhalb von 30 Tagen keine oder keine konstruktive Antwort erhalten.

Sollte der Händler innerhalb von 90 Tagen kein Security Update für seine Kunden veröffentlicht haben oder sie nicht über die Schwachstelle informiert haben, werden wir ebenfalls so verfahren.

In jedem Fall behält sich Greenbone das Recht vor, ab dem ersten Tag einen Network Vulnerability Test zu dem gemeldeten Problem auf dem Greenbone Security Feed zu veröffentlichen. Wir möchten unsere Kunden bestmöglich über Sicherheitsrisiken informieren, sodass sie frühzeitig reagieren können.