Niederländische Regierung strebt Offenlegungspraktiken bei ethischen Hackern an

Das Cybersicherheitszentrum der niederländischen Regierung hat Richtlinien veröffentlicht, die ethische Hacker dazu ermutigen sollen, Sicherheitslücken verantwortungsvoll offenzulegen.

"Personen, die eine IT-Sicherheitslücke melden, haben eine wichtige Sicherheitslücke soziale Verantwortung ", sagte das niederländische Ministerium für Sicherheit und Justiz am Donnerstag und gab Leitlinien für ethisches Hacken bekannt, die vom Nationalen Cybersicherheitszentrum (NCSC) des Landes veröffentlicht wurden.

White-Hat-Hacker und Sicherheitsforscher spielen eine wichtige Rolle bei der Sicherung IT-Systeme durch das Auffinden von Schwachstellen, sagte der NCSC. Das Zentrum beharrte jedoch darauf, dass Sicherheitsforscher manchmal widerwillig sind, Sicherheitslücken in Unternehmen offenzulegen, anstatt Medienkanäle zu nutzen, um Sicherheitslücken zu melden, was eine unerwünschte Praxis ist, da sie ein Loch offen legt, bevor es behoben wird. (Siehe auch "Audacious 'Hactivists Social Statement, Scholar Says.")

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows PC]

Mit dem Leitfaden möchte die Regierung Organisationen einen Rahmen bieten Erstellen Sie eigene Richtlinien zur verantwortungsvollen Offenlegung. Ivo Opstelten, Minister für Sicherheit und Justiz, plant, eine breite Nutzung der Richtlinien für verantwortungsvolle Offenlegung innerhalb der Regierung zu fördern, sagte er in einem Brief an das Parlament.

Während die veröffentlichten Leitlinien den bestehenden Rechtsrahmen nicht beeinflussen, ermutigt die Parteien, zusammenzuarbeiten, um IT-Systeme sicherer zu machen, sagte der NCSC. Unternehmen und Regierungen könnten zum Beispiel ein standardisiertes Online-Formular anbieten, das von Sicherheitsforschern verwendet werden kann, um eine Organisation zu benachrichtigen, wenn sie eine Sicherheitslücke gefunden haben.

Das Unternehmen und der Forscher können auch zustimmen, die Sicherheitslücke innerhalb einer bestimmten Zeit offen zu legen Rahmen. Ein akzeptabler Zeitraum für die Offenlegung von Software-Schwachstellen ist 60 Tage, während eine angemessene Frist für die Offenlegung von Hardware-Schwachstellen, die schwerer zu beheben sind, sechs Monate beträgt, so der NCSC. Wenn sich eine Organisation dazu entschließt, diese Richtlinien zu befolgen, sollte sie in ihre Richtlinie aufnehmen, dass sie keine rechtlichen Schritte gegen ethische Hacker unternimmt, die sich an die Regeln halten, fügte sie hinzu.

Die Staatsanwaltschaft behält jedoch die Möglichkeit zu verfolgen es vermutet, dass Verbrechen begangen wurden, sagte das Ministerium für Sicherheit und Justiz.

Empfohlenes Verfahren

Die Person, die die Sicherheitslücke entdeckt, sollte sie dem Eigentümer des Systems auf vertrauliche Weise direkt und so schnell wie möglich melden. damit das Leck nicht von anderen missbraucht werden kann. Darüber hinaus wird der ethische Hacker weder Social-Engineering-Techniken verwenden, noch eine Hintertür installieren oder Daten vom System kopieren, ändern oder löschen, so der NCSC. Alternativ könnte ein Hacker eine Verzeichnisauflistung im System machen, sagten die Richtlinien.

Hacker sollten auch davon absehen, das System zu ändern und nicht wiederholt auf das System zuzugreifen. Der Einsatz von Brute-Force-Techniken für den Zugriff auf ein System wird ebenfalls abgeraten, sagte der NCSC. Der ethische Hacker muss weiterhin zustimmen, dass Sicherheitslücken nur dann offengelegt werden, wenn sie feststehen und nur mit Zustimmung der beteiligten Organisation. Die Parteien können auch beschließen, die breitere IT-Gemeinde zu informieren, wenn die Sicherheitslücke neu ist oder der Verdacht besteht, dass mehr Systeme die gleiche Sicherheitslücke aufweisen, so das NCSC.

Während das verantwortliche Offenlegungsverfahren im Prinzip Sache des Detektors und der Organisation kann der NCSC als Vermittler fungieren, wenn ihm direkt eine Sicherheitslücke gemeldet wird.

"Ich denke, das ist eine sehr gute Sache, besonders wenn der NCSC als Vermittler auftritt", sagte Ronald Prins, CEO des niederländischen Sicherheitsdienstes Firma Fox-IT. Eines der Probleme, mit denen ethische Hacker konfrontiert sind, ist, dass es ihnen schwer fällt, ernst genommen zu werden, wenn sie eine Schwachstelle in einem Unternehmen melden und es ihnen schwerfällt, die richtige Person zu erreichen, sagte er.

Wenn eine Organisation wegen einer Sicherheitslücke von einer offiziellen Regierungsorganisation wie dem NCSC kontaktiert wird, wird sie die Warnung wahrscheinlich ernster nehmen, fügte er hinzu. Online-Formulare, die die Sicherheitslücke direkt an die richtige Person innerhalb einer Organisation melden, könnten diesen Prozess ebenfalls unterstützen.

Obwohl ethischen Hackern innerhalb der Richtlinien wenig Flexibilität eingeräumt wurde, sagte Prins, er verstehe, warum die Regierung dies getan hat. Es verhindert, dass ethische Hacker die Grenze überschreiten, sagte er.

"Ich sehe, dass einige Leute enttäuscht sind", weil die Staatsanwaltschaft immer noch strafrechtlich verfolgen kann, wenn sie das für nötig halten, sagte Prins. Aber es ist unmöglich, dies nicht zu tun, fügte er hinzu. "Ich würde mich sehr freuen, wenn jemand ein Problem melden würde, das er gefunden hat", sagte er. Aber wenn diese Person Tage damit verbringt, seine Systeme zu manipulieren, würde Prins definitiv eine rechtliche Beschwerde einreichen, sagte er.

Loek ist Amsterdamer Korrespondent und befasst sich mit Online-Datenschutz, geistigem Eigentum, Open-Source- und Online-Zahlungen für die IDG Nachrichtenservice. Folge ihm auf Twitter bei @loekessers oder per E-Mail Tipps und Kommentare an [email protected]