Responsible Disclosure

Responsible Disclosure

Wie reagieren Unternehmen auf die Mitteilung über Sicherheitslücken?

Master thesis, Studienarbeit

Software und Geräte haben häufig Sicherheitslücken, von denen weder deren Hersteller noch deren Nutzer wissen. Nichtsdestotrotz können diese Sicherheitslücken von Kriminellen ausgenutzt werden, beispielsweise, um Privatpersonen mit IoT-Geräten auszuspähen. Manche der hierfür ausgenutzten Schwachstellen und Datenlecks werden öffentlich, doch wir müssen davon ausgehen, dass viele unbekannt bleiben.

Im Rahmen der wissenschaftlichen Sicherheitsforschung können genau solche Sicherheitslücken aufgedeckt werden, ohne dass Privatpersonen zu Schaden kommen. Als allgemein anerkannte Vorgehensweise beim Fund von Sicherheitslücken und der Kommunikation mit den Herstellern hat sich ein Prozess namens “Responsible Disclosure” durchgesetzt. Die Meinungen, wie genau bei Responsible Disclosure vorgegangen werden sollte, gehen jedoch stark auseinander, da Firmen unterschiedlicher Größe und Herkunft sehr unterschiedlich auf Responsible Disclosure Anfragen reagieren. Manche Firmen ignorieren solche Anfragen. Andere drohen damit, rechtliche Schritte gegen die Finder einzuleiten. Beides ist problematisch, wobei verschiedene Strategien zur Verfügung stehen, hiermit umzugehen.

Zielsetzung der Arbeit
Ziel dieser Abschlussarbeit soll es sein, in Zusammenarbeit mit dem Secure Mobile Networking Lab zu untersuchen, auf welche Art Hersteller von IoT-Devices auf Responsible Disclosure Mitteilungen von Sicherheitsforschern reagieren. Dabei soll im speziellen darauf eingegangen werden, welche Strategien und inhaltlichen Gestaltungsmittel, wie beispielsweise Rhetorik, dazu führen, dass Hersteller positiv auf solche Mitteilungen reagieren und sich insbesondere einsichtig verhalten.

Fragestellung
Diese Abschlussarbeit soll der Frage nachgehen, auf welche Weise Sicherheitsforscher im Sinne der Responsible Disclosure Hersteller und Firmen kontaktieren können, sodass diese zukünftig die benannten Sicherheitslücken beheben. Hierbei stellt sich insbesondere die Frage, welche Strategien und Gestaltungsmittel angewendet werden können und wie sich diese auf den Erfolg auswirken.

Methodik / Vorgehensweise
Literaturrecherche im Bereich Kommunikation von Sicherheitslücken (insb. Responsible Disclosure).
Weiterführende empirische Studie unter Herstellern von IoT-Devices.

Beginn/Betreuer
Erste Bewerbungsgespräche finden statt, sobald die Präsenzlehre wieder möglich ist.
Bei Interesse bitte mit kurzem Motivationsschreiben (ca. 200 Wörter) melden bei:
Christian Olt

Kooperationspartner: Secure Mobile Networking Lab (SEEMOO)

Announcement as PDF