1 Jahr Vulnerability Disclosure Policy der Bundeswehr – Die Bilanz des CISOBwChief Information Security Officer
1 Jahr Vulnerability Disclosure Policy der Bundeswehr – Die Bilanz des CISOBwChief Information Security Officer
- Datum:
- Lesedauer:
- 2 MIN
Vor einem Jahr, am 22. Oktober 2020, führte die Bundeswehr ihre Vulnerability Disclosure Policy ein. Seitdem sind 76 qualifizierte Schwachstellen von ITInformationstechnik-Sicherheitsforschern auf der ganzen Welt gemeldet worden. Im Interview spricht Generalmajor Jürgen Setzer, Chief Information Security Officer der Bundeswehr, über seine Bilanz und wie man zukünftig Danke sagen möchte.
Herr General, welche Ziele verfolgten Sie mit der Vulnerability Disclosure Policy der Bundeswehr?
Die Vulnerability Disclosure Policy der Bundeswehr ist eine Ergänzung zu unseren eigenen Anstrengungen Schwachstellen und Sicherheitslücken in unseren Systemen frühzeitig zu erkennen. Dieses frühzeitige Erkennen schafft die Voraussetzung für das schnelle Schließen dieser Schwachstellen und mindert damit das Risiko von erfolgreichen Angriffen gegen unsere ITInformationstechnik-Systeme.
Fazit: Mittels VDP konnten wir unser Sicherheitsniveau steigern!
Wie viele Schwachstellen konnten bereits geschlossen werden?
Von 103 gemeldeten Schwachstellen betrafen 76 die Bundeswehr. 60 haben wir bereits schließen können. Dabei haben wir uns zum Ziel gesetzt, die Zeitdauer des Sicherheitsprozesses, von der Meldung bis zur Schwachstellenbehebung, stets kurz zu halten. Im Durchschnitt dauerte es etwa zwei bis drei Wochen, bis die Schwachstelle von uns reproduziert und geschlossen werden konnte. Das funktioniert vor allem, dank der mitgelieferten Dokumentationen der ITInformationstechnik-Sicherheitsforschenden, die wirklich sehr gut sind.
Überwiegend waren es aber Konfigurationsfehler, die durch die Meldungen zügig festgestellt und behoben werden konnten. Aber auch kritische Schwachstellen, wie z.B. eine Remote-Code-Execution-Schwachstelle konnte durch die Meldung eines ITInformationstechnik-Sicherheitsforschenden von uns identifiziert und geschlossen werden.
Immer wieder werden die Begriffe Vulnerability Disclosure Policy und Bug Bounty verwechselt, was ist da der Unterschied bei der Bundeswehr?
In Deutschland ist das „Hacken“ von ITInformationstechnik-Systemen strafrechtlich relevant. Die Bundeswehr hat mit der VDP einen Rechtsrahmen geschaffen, mit dem es ITInformationstechnik-Sicherheitsforschenden ohne Konflikt mit dem Strafgesetzbuch möglich ist, ihre Erkenntnisse mit uns zu teilen.
Mit einem Bug Bounty wird zwar über einen entsprechenden finanziellen Anreiz eine starke Motivation für ITInformationstechnik-Sicherheitsforschende geschaffen. Doch darauf kommt es nicht allen gleichermaßen an. Die hohe Anzahl an Meldungen hat uns gezeigt, dass der durch die Bundeswehr ausgelobte nicht monetäre Anreiz genauso wirksam ist.
Die Bundeswehr hat mit der VDPBwVulnerability Disclosure Policy der Bundeswehr einen vorsichtigen Einstieg in dieses Instrument von Schwachstellenmeldungen gewählt. Zwar sind wir noch Vorreiter im Behördenumfeld, aber wir hoffen, dass dem Beispiel auch andere noch folgen und wir so gemeinsam das gesamtstaatliche Sicherheitsniveau verbessern können.
Sie sprachen von der Auslobung eines nicht monetären Reizes, was kann man sich darunter vorstellen?
Wir nennen auf unserer Dankesseite, wenn nichts Anderes gewünscht ist, die Beschreibung der geschlossenen Schwachstelle und den Namen (bzw. den Alias) der Entdeckerin oder des Entdeckers, um so eine gute Zusammenarbeit mit der Bundeswehr auch öffentlich zum Ausdruck zu bringen.
Besonders verdiente ITInformationstechnik-Sicherheitsforschende zeichnen wir mit dem VDPBwVulnerability Disclosure Policy der Bundeswehr-COIN aus. Eine Grundvoraussetzung ist es, mindestens drei qualifizierte ITInformationstechnik-Schwachstellen bei der Bundeswehr gemeldet zu haben.