Management und Wissen Vulnerability-Disclosure Oft werden VDPs auch als wirksame Maßnahme zur Einhaltung der EU Datenschutzgrundverordnung (DS- GVO) gesehen: Kürzlich hat etwa das Center for European Policy Studies (CEPS) erklärt, dass die Veröffentlichung einer VDP das Risiko von Geldbußen aufgrund möglicher Verstöße gegen personenbezogene Daten verringern kön- ne. Daraus lässt sich umgekehrt schließen, dass im Falle einer Verletzung der DSGVO das Fehlen eines VDP als „nicht gemäß dem Stand der Technik“ angesehen werden oder sich zumindest negativ auf die Höhe des Strafmaßes auswirken könnte. Einführung einer VDP Wenn ein Unternehmen die Entscheidung getrof- fen hat, eine VDP einzuführen, gibt es einige Dinge zu beachten, damit das Projekt zum Erfolg wird – allem voran ist es wichtig, alle relevanten Stakeholder von Anfang an einzubeziehen. Am besten funktioniert eine VDP dann, wenn sie die Basis für alle zugehörigen Prozesse bildet: Hierunter fallen das Melden einer Schwachstelle, ihre Offenlegung und Beseitigung sowie die generelle Kommunikation und eine anschließende Erfolgsmessung. Dementsprechend ist hier nicht nur die IT-Abteilung involviert – ein Mitspra- cherecht in der Planung sollten auch Technik, Rechts- abteilung und Produktentwicklung haben. In manchen Fällen haben auch solche Schwachstellen, die eigentlich weniger schwerwiegend sind, Einfluss auf verschiedenste, zuvor nicht bedachte Personen und Abteilungen. Deshalb sollten möglichst viele einbezogen oder zumindest infor- miert sein – und zwar sowohl intern als auch extern. Literatur [1] European Commission, Questions and Answers – EU Cybersecurity, Juni 2019, https://ec.europa.eu/commissi- on/presscorner/detail/en/QANDA_19_3369 [2] Nationaal Cyber Security Centre (NCSC), Coordinated Vulnerability Disclosure: the Guideline, Oktober 2018, https://english.ncsc.nl/publications/publications/2019/ juni/01/coordinated-vulnerability-disclosure-the-guideline [3] U. S. Department of Justice Cybersecurity Unit, A Framework for a Vulnerability Disclosure Program for Online Systems, Version 1.0, Juli 2017, www.justice.gov/ criminal-ccips/page/file/983996/download [4] Edwin Foudil (EdOverflow), Yakov Shafranovich (Nightwatch Cyber), security.txt, A proposed standard which allows websites to define security policies, https:// securitytxt.org [5] E. Foudil, Y. Shafranovich, A File Format to Aid in Security Vulnerability Disclosure, IETF Network Working Group Internet-Draft, Februar 2020, https://tools.ietf.org/ html/draft-foudil-securitytxt-09 [6] Yes We Hack, Showcasing your vulnerability disclosure policy to the world, Blogbeitrag, Januar 2020, https://blog. yeswehack.com/2020/01/23/showcasing-your-vulnerabi- lity-disclosure-policy-to-the-world/ [7] European Union Agency for Cybersecurity (ENISA), Good Practice Guide on Vulnerability Disclosure, From challenges to recommendations, Januar 2016, www.enisa. europa.eu/publications/vulnerability-disclosure [8] European Union Agency for Cybersecurity (ENISA), Economics of Vulnerability Disclosure, Dezember 2018, www.enisa.europa.eu/publications/economics-of-vulne- rability-disclosure [9] International Organization for Standardization (ISO), Information technology — Security techniques — Vulne- rability disclosure, ISO/IEC 29147:2018, Oktober 2018, www.iso.org/standard/72311.html [10] International Organization for Standardization (ISO), Information technology — Security techniques — Vulne- rability handling processes, ISO/IEC 30111:2019, Oktober 2019, https://www.iso.org/standard/69725.html [11] Marietje Schaake, Lorenzo Pupillo, Afonso Ferreira, Gianluca Varisco, Software Vulnerability Disclosure in Europe – Technology, Policies and Legal Challenges, Cen- tre for European Policy Studies (CEPS) Task Force Report, Juni 2018, www.ceps.eu/ceps-publications/software- vulnerability-disclosure-europe-technology-policies-and- legal-challenges/ [12] IoT Security Foundation, Vulnerability Disclo- sure, Best Practice Guidelines, Release 1.1, Dezember 2017, www.iotsecurityfoundation.org/wp-content/up- loads/2017/12/Vulnerability-Disclosure_WG4_2017.pdf [13] Open Web Application Security Project (OWASP), Vulnerability Disclosure Cheat Sheet, https://cheatsheet- series.owasp.org/cheatsheets/Vulnerability_Disclosure_ Cheat_Sheet.html 8 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2020 #2