Koordinierte Veröffentlichung

Die Veröffentlichungsrichtlinie von Context ist in erster Linie auf den Schutz unserer Kunden sowie der Anbieter und Benutzer der betroffenen Produkte ausgerichtet.

Wir sind der Ansicht, dass Anbietern ein angemessener Zeitrahmen zur Behebung einer kritischen Schwachstelle zugestanden werden sollte. Dabei sollten allerdings bestimmte Zeitspannen in Bezug auf die Veröffentlichung eingehalten werden.

Veröffentlichungsrichtlinien

Context legt höchsten Wert darauf, die Sicherheit ihrer Kunden zu wahren und zu verbessern. Wir führen regelmäßig unabhängige Sicherheitsaudits und Schwachstellenanalysen für Software und Hardware von Drittanbietern durch – sowohl zum Schutz unserer Kunden als auch für eigene Zwecke. Falls kritische Sicherheitslücken gefunden werden, informieren wir die entsprechenden Anbieter, damit sie die Probleme beheben und die Sicherheit ihrer Produkte für alle Benutzer verbessern können. Unsere Untersuchungen haben alle ein Ziel: Die Optimierung der Sicherheit des untersuchten Produkts. Nachdem der Anbieter einen Patch bereitgestellt hat, veröffentlichen wir interessante Untersuchungsergebnisse, um die Wichtigkeit angemessener Sicherheitsmaßnahmen zu unterstreichen.

Diese Erklärung beinhaltet die Veröffentlichungsrichtlinien, die Context in Bezug auf die Meldung von Schwachstellen an Anbieter und die Offenlegung der Details für die Öffentlichkeit beachten wird. Die Richtlinie deckt nur Schwachstellen ab, die nicht im Rahmen eines Vertrags oder Einsatzes bei Kunden aufgedeckt wurden. Wenn wir Schwachstellen im Rahmen unserer Services bei Kunden aufdecken, arbeiten wir während des gesamten Veröffentlichungsprozesses mit dem jeweiligen Kunden zusammen und berücksichtigen seine Anforderungen. Unsere Richtlinie für die verantwortungsvolle Offenlegung steht Anbietern einen bestimmten Zeitrahmen zur Veröffentlichung und Behebung von Schwachstellen zu, minimiert aber gleichzeitig die Risiken, die unseren Kunden und anderen Benutzern bei der Verwendung drohen.

Die branchenüblichen Zeitrahmen für die Veröffentlichung von Schwachstellen nach der Meldung an den Anbieter variieren stark. Context hat beschlossen, hier einen flexiblen Ansatz zu verfolgen. Unserer Ansicht nach sind 90 Tage eine angemessene Frist, in der Anbieter das Problem replizieren und beheben sowie einen Patch bereitstellen können. Sollte ein Anbieter jedoch mehr Zeit benötigen, um eine Fehlerbehebung zu entwickeln und zu veröffentlichen, vereinbaren wir vorab mit ihm einen entsprechenden Zeitrahmen. Wir sind uns bewusst, dass es bei bestimmten Produkten nicht immer möglich ist, einen festen Zeitrahmen einzuhalten. Stellt eine Schwachstelle eine kritische Sicherheitslücke für unsere Kunden dar, wird Context gegebenenfalls mit dem schriftlichen Einverständnis des jeweiligen Anbieters und im Rahmen einer Vertraulichkeitsvereinbarung den betroffenen Kunden und vertrauenswürdigen Incident-Response-Teams (CERTs) Details zukommen lassen. Dies geschieht vor Ablauf der Untersuchungsfrist des Anbieters, damit die Kunden unter Umständen Maßnahmen zum Schutz ihrer Systeme ergreifen können. Behebt ein Anbieter das Problem vor Ablauf der Untersuchungsfrist, wartet Context 14 Tage, bevor wir Details zur Sicherheitslücke veröffentlichen. Dadurch erhält der Anbieter Zeit, den neu entwickelten Patch bereitzustellen und zu verbreiten.

Wenn wir einem Anbieter eine Schwachstelle melden, werden wir alle Anstrengungen unternehmen, ihm die entsprechenden Details zukommen zu lassen. Sollte Context keine Rückmeldung des Anbieters erhalten, werden wir eventuell unter Berücksichtigung der oben angegebenen Fristen Details zur Schwachstelle veröffentlichen.

Bei Ausnahmen von dieser Richtlinie wird Context zusammen mit dem jeweiligen Anbieter eine Lösung erarbeiten.

Details zu einigen bereits identifizierten Schwachstellen finden Sie auf der Seite mit unseren Whitepapern und Blogbeiträgen. Wir werden diese Richtlinie regelmäßig überprüfen und gegebenenfalls ändern. Wenn Sie mehr darüber erfahren möchten, können Sie uns gern unter [email protected] kontaktieren.

CBEST
CREST STAR
CHECK IT Health Check Service
CREST
Cyber Essentials
CESG Certified Service
First - Improving Security Together
BSI ISO 9001 FS 581360
BSI ISO 27001 IS 553326
Allianz für Cyber-Sicherheit