Skip to content

Was ist Coordinated Vulnerability Disclosure und wie sollte sie funktionieren?

Kurzantwort

Coordinated Vulnerability Disclosure ist ein Prozess, bei dem ein Forscher eine Schwachstelle privat an den Hersteller meldet, beide Seiten sich auf Behebung und Zeitplan einigen und Details erst veröffentlicht werden, sobald ein Fix verfügbar ist (oder eine vereinbarte Frist abläuft). Sie wägt die Zeit zum Patchen für Verteidiger gegen das Recht der Öffentlichkeit auf Information ab. Eine security.txt-Datei und eine klare Richtlinie machen das Melden reibungslos; Bug-Bounty-Programme fügen darauf strukturierte Belohnungen hinzu.

Eine Schwachstelle zu finden ist nur die halbe Arbeit; sie beheben zu lassen, ohne Nutzer zu gefährden, ist die andere Hälfte. Interviewer fragen nach Disclosure, um Ihre Ethik und Prozessreife zu prüfen — ein Forscher, der einen Zero-Day auf Twitter abwirft, ist eine Belastung, kein Gewinn.

Das Spektrum der Offenlegung

  • Full Disclosure veröffentlicht alles sofort. Sie setzt Hersteller unter Druck, bewaffnet aber Angreifer, bevor ein Patch existiert.
  • Non-Disclosure hält die Schwachstelle geheim. Verteidiger können sie nie beheben, und „Security through Obscurity" versagt in dem Moment, in dem jemand anderes sie findet.
  • Coordinated (Responsible) Disclosure liegt dazwischen und ist der professionelle Standard: privat melden, Zeit zum Beheben geben, dann veröffentlichen.

Der koordinierte Prozess

  1. Melden. Der Forscher kontaktiert den Hersteller über einen bekannten Kanal — idealerweise eine veröffentlichte Richtlinie und eine security.txt-Datei (RFC 9116), die einen Kontakt und Scope angibt.
  2. Bestätigen und triagieren. Der Hersteller bestätigt den Eingang, reproduziert und bewertet den Schweregrad (oft unter Vergabe einer CVE).
  3. Beheben. Beide Parteien einigen sich auf einen Fix und einen Offenlegungszeitplan — üblicherweise rund 90 Tage, je nach Komplexität anpassbar.
  4. Veröffentlichung koordinieren. Der Patch wird zuerst ausgeliefert; Hersteller und Forscher veröffentlichen dann Advisories, oft unter Nennung des Melders.
  5. Bei Frist trotzdem offenlegen. Verzögert der Hersteller, löst eine vorab vereinbarte Frist dennoch die Veröffentlichung aus, sodass ein Hersteller eine Schwachstelle nicht für immer begraben kann.

Warum die Frist existiert

Die Frist schützt Nutzer auf zwei Arten: Sie stoppt unbegrenzte Untätigkeit des Herstellers und erkennt an, dass andere denselben Bug unabhängig entdecken können. Die zeitliche Begrenzung erzwingt Bewegung und priorisiert dennoch ein „Fix zuerst"-Ergebnis.

Bug Bounties und Safe Harbor

Bug-Bounty-Programme formalisieren dies mit Scope, Belohnungen und — entscheidend — Safe-Harbor-Formulierungen, die zusichern, keine rechtlichen Schritte gegen gutgläubige Forscher einzuleiten, was Forscher überhaupt erst zur Meldung bereit macht.

Worauf Interviewer achten

Sie wollen den koordinierten Mittelweg statt Full oder Non-Disclosure, die Abfolge melden-beheben-veröffentlichen, ein Bewusstsein für Fristen und warum es sie gibt, sowie die praktischen Wegbereiter: security.txt, CVEs und Safe-Harbor-Klauseln.

Wahrscheinliche Anschlussfragen

  • Wie unterscheidet sich Coordinated Disclosure von Full Disclosure und Non-Disclosure?
  • Was ist eine security.txt-Datei und was sollte sie enthalten?
  • Warum setzen Offenlegungsprogramme eine Frist, selbst wenn der Hersteller kooperiert?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.