Responsible-Disclosure-Richtlinie von cirosec

Die Responsible-Disclosure-Richtlinie wird von cirosec bei der Behandlung von Zero-Day-Schwachstellen befolgt, die bei Forschungs- oder Kundenprojekten entdeckt werden. Dem Hersteller oder Open-Source-Projekt (im Folgenden kurz „Einheit“) soll dadurch genug Zeit gegeben werden, um einen Patch zu entwickeln und bereitzustellen, gleichzeitig soll die Öffentlichkeit über die Sicherheitslücke informiert werden. Die Richtlinie entspricht der branchenüblichen Praxis in Bezug auf Responsible Disclosure.

Wird die Schwachstelle während eines Kundenprojekts entdeckt, stimmt cirosec den Aktionsplan mit dem Kunden ab. Dennoch empfehlen wir ausdrücklich, denselben Prozess anzuwenden wie für Schwachstellen, die bei internen Forschungsarbeiten von cirosec aufgedeckt werden. Dieser wird im Folgenden beschrieben.

Security Advisory von cirosec

Wird eine noch nicht öffentlich bekannte Schwachstelle entdeckt, dokumentiert cirosec diese in Form eines Security Advisory (SA). Das SA enthält folgende Informationen:

• Identifikationsnummer des SA (SA-JAHR-NUMMER, z. B.: SA-2023-001) und CVE, falls vorhanden
• Detaillierte technische Beschreibung der Schwachstelle und ihrer Auswirkungen
• Detaillierte Hinweise, um die Schwachstelle zu reproduzieren, und Proof-of-Concept-Code, falls vorhanden
• Empfehlungen zur Behebung der Schwachstelle, falls vorhanden
• Die Version, in der die Schwachstelle identifiziert wurde
• Die Richtlinie zur Veröffentlichung nach „90 + 30“ Tagen

Meldung einer Schwachstelle

Wenn die Einheit mit einem externen Bug-Bounty-Partner zusammenarbeitet, nutzt cirosec diesen Weg zur Meldung der Schwachstelle. Andernfalls meldet cirosec die Schwachstelle direkt an die Einheit, die für die Entwicklung des Patch verantwortlich ist. Zunächst wird der öffentlich dokumentierte Kommunikationsweg zur Meldung von Sicherheitsproblemen genutzt. Sollte sich keine offizielle Kontaktperson aus dem Bereich IT-Sicherheit identifizieren lassen oder cirosec innerhalb von 7 Tagen keine Antwort erhalten, werden falls möglich per E-Mail oder Telefon weitere Versuche unternommen, um die Einheit zu kontaktieren. Als letzte Möglichkeit versuchen wir eine Kontaktaufnahme gegebenenfalls über soziale Netzwerke wie X (ehemals Twitter).

Richtlinie zur Veröffentlichung nach „90 + 30“ Tagen

cirosec befolgt eine Richtlinie zur Veröffentlichung nach „90 + 30“ Tagen, d. h., nachdem cirosec die Einheit über die Sicherheitslücke informiert hat, hat die Einheit 90 Tage Zeit, um den Benutzern einen Patch bereitzustellen. Erhält cirosec innerhalb von 7 Tagen keine Antwort von der Einheit, werden weitere Kommunikationsversuche unternommen. Erhält cirosec auch innerhalb von 21 Tagen nach der ersten Kontaktaufnahme keine Antwort von der Einheit, kann cirosec die technischen Details der Schwachstelle veröffentlichen.

Stellt die Einheit innerhalb von 90 Tagen einen Patch zur Verfügung, werden die Details der Schwachstelle von cirosec 30 Tage nach Bereitstellung des Patch an die Benutzer veröffentlicht.

Das folgende Beispiel veranschaulicht das Vorgehen:

• Wird ein Sicherheitsproblem 47 Tage nachdem cirosec die Einheit darüber informiert hat behoben, werden Details der Schwachstelle an Tag 77 veröffentlicht.
• Wird ein Sicherheitsproblem 83 Tage nachdem cirosec die Einheit darüber informiert hat behoben, werden Details der Schwachstelle an Tag 113 veröffentlicht.
• Wird ein Sicherheitsproblem von der Einheit nicht innerhalb der ersten 90 Tage behoben, veröffentlicht cirosec Details der Schwachstelle nach Ablauf der 90 Tage.

Jedes Security Advisory von cirosec enthält den folgenden Hinweis:

Diese Schwachstelle unterliegt der Richtlinie zur Veröffentlichung nach „90 + 30“ Tagen. Diese Frist beginnt heute (JJJJ-MM-TT). Wird den Benutzern innerhalb der Frist von 90 Tagen ein Patch für dieses Sicherheitsproblem bereitgestellt, veröffentlicht cirosec 30 Tage nach Bereitstellung des Patch einen Schwachstellenbericht. Andernfalls wird dieser Schwachstellenbericht nach Ablauf der Frist veröffentlicht (JJJJ-MM-TT).

Wenn mit Ablauf der Frist absehbar ist, dass innerhalb von 14 Tagen ein Patch bereitgestellt wird, kann cirosec eine Verlängerung anbieten, um den Terminen des Patchmanagements der Einheit gerecht zu werden. Über die 14 Tage hinaus wird keine weitere Verlängerung gewährt.

Wenn die Einheit bekannt gibt, dass sie keinen Patch bereitstellen wird, weil zum Beispiel der Befund von der Einheit nicht als Sicherheitslücke eingestuft wird oder weil sich die Schwachstelle nicht beheben lässt, kann cirosec umgehend technische Details der Schwachstelle veröffentlichen.

Details zur Veröffentlichung

Ob und wie detailliert die Schwachstelle veröffentlicht wird, entscheidet cirosec im Einzelfall. Dasselbe gilt für die Veröffentlichung von Proof-of-Concept-Code oder Exploit-Code.

Technische Schwachstellendetails werden auf der Website von cirosec veröffentlicht.

Hinweis zur Veröffentlichung von Schwachstellen

Sollten Sie Schwachstellen in einem unserer Systeme oder Assets entdecken, melden Sie uns diese bitte per E-Mail an: informationssicherheitsbeauftragter@cirosec.de

Version 1.0 – 29. September 2023