Vulnerability Disclosure Policy
Eine Vulnerability Disclosure Policy (VDP) ist ein veröffentlichtes Regelwerk, das festlegt, wie Sicherheitsforscher und externe Personen dem Unternehmen Sicherheitslücken melden können – inklusive Schutz vor rechtlichen Konsequenzen bei gutgläubiger Meldung.
Ausführliche Erklärung
Eine Vulnerability Disclosure Policy (VDP) schafft einen verbindlichen Rahmen für die Zusammenarbeit zwischen Unternehmen und ethischen Hackern, die Sicherheitslücken aufdecken. Sie definiert klare Spielregeln: welche Systeme untersucht werden dürfen, welche Testmethoden zulässig sind, wie Schwachstellen zu melden sind und innerhalb welcher Frist das Unternehmen reagiert. Im Gegenzug sichert das Unternehmen zu, keine rechtlichen Schritte gegen Personen einzuleiten, die sich an die Policy halten – ein sogenannter Safe Harbor.
Für mittelständische Unternehmen ist eine VDP aus mehreren Gründen relevant. Erstens: Externe Sicherheitsforschende finden häufig Schwachstellen, bevor kriminelle Akteure sie ausnutzen. Ohne klaren Meldekanal laufen diese Meldungen ins Leere oder werden öffentlich gemacht, bevor das Unternehmen reagieren kann. Zweitens: Eine VDP signalisiert Kompetenz und Verantwortungsbewusstsein gegenüber Kunden, Partnern und Aufsichtsbehörden. Drittens: In Deutschland bewegt sich Schwachstellenforschung ohne explizite Autorisierung in einer rechtlichen Grauzone, da Paragraphen wie § 202a-c StGB greifen können. Eine VDP schafft hier Klarheit.
Die VDP unterscheidet sich klar von Bug-Bounty-Programmen: Bei Bug Bounties laden Unternehmen aktiv zur Suche ein und zahlen Prämien. Eine VDP ist passiver – sie definiert lediglich einen sicheren Kommunikationskanal für freiwillige Meldungen ohne finanzielle Vergütung. Typische Bestandteile einer VDP sind: Scope (welche Systeme sind im Test erlaubt), Kontaktwege (E-Mail, Webformular), Verhaltensregeln (z. B. kein Denial-of-Service, keine Datenexfiltration), Reaktionszeiten (oft 90 Tage bis zur öffentlichen Offenlegung) und Safe-Harbor-Klauseln.
International orientieren sich VDPs an Standards wie ISO/IEC 29147 (Vulnerability Disclosure) und ISO/IEC 30111 (Vulnerability Handling). In der EU gewinnt das Thema durch den Cyber Resilience Act (CRA) zusätzlich an Bedeutung, der ab 2026 Hersteller digitaler Produkte zur Implementierung von Coordinated Vulnerability Disclosure verpflichtet. Auch die NIS-2-Richtlinie fördert koordinierte Offenlegungsverfahren. Für KMU genügt meist eine kompakte, klar formulierte Policy von ein bis zwei Seiten, sofern alle wesentlichen Punkte abgedeckt sind.
Praxisbeispiel
Ein Wiener IT-Dienstleister mit 35 Mitarbeitenden betreibt mehrere Webanwendungen für Kundenprojekte. Ein externer Sicherheitsforscher entdeckt eine SQL-Injection-Schwachstelle in einem Kundenportal. Dank der auf der Website veröffentlichten VDP weiß er, an wen er sich wenden kann, welche Informationen er übermitteln soll und dass ihm keine Strafverfolgung droht. Das Unternehmen bestätigt den Eingang innerhalb von drei Werktagen, behebt die Lücke binnen 14 Tagen und informiert den Kunden – ohne dass die Schwachstelle je öffentlich wurde.