Tassilo Thieme
Master Thesis "Wirtschaftsinformatik", Hochschule Wismar, April 2021
Autor: Tassilo Thieme
Titel: Heureka! Von der Schwachstellenfindung bis zur Veröffentlichung: Entwicklung eines Coordinated Vulnerability Disclosure Prozesses für kleine und mittelständische IT-Unternehmen
Abstrakt:
Nahezu jedes IT-Produkt enthält Schwachstellen, die dessen IT-Sicherheit gefährden. Sie werden aber oftmals nicht vom Hersteller selbst, sondern erst von externen Dritten (z.B. IT-Sicherheitsforschenden) entdeckt, die dies, bestenfalls zeitnah und vertraulich, an ihn melden. Für den Umgang mit solchen Meldungen setzen insbesondere Großunternehmen häufig auf sogenannte CVD-Prozesse, die auch in verschiedenen Standards und Empfehlungen (vgl. [ISO18], [ISO13b], [NN18], [Hou+17], etc.) definiert und beschrieben werden. Im Gegensatz dazu, haben kleine und mittelständische IT-Unternehmen (IT-KMUs) bisher nur äußerst selten einen CVD-Prozess implementiert, was u.a. auf fehlende zielgruppengerechte Orientierungshilfen und den noch immer weit verbreiteten „Security By Obscurity“-Ansatz zurückzuführen ist. In dieser Masterthesis wird daher auf Basis der internationalen Standards, einer Marktstudie und Erkenntnissen aus dem Change-Management ein 5-Stufen-Modell abgeleitet, das im Gegensatz zu allen bestehenden Standards und Empfehlungen auf die besonderen Bedürfnisse von IT-KMUs eingeht. Ergänzend dazu werden Vorlagen für die Implementierung bereitgestellt und Hinweise und Lösungsvorschläge für jede Phase der Anwendung gegeben. Die erarbeiteten Lösungsansätze werden abschließend in einem IT-KMU in die Praxis umgesetzt und die Ergebnisse evaluiert.
Abstract:
Eureka! From finding vulnerabilities to their publication: Development of a Coordinated Vulnerability Disclosure process for small and medium-sized IT companies
Almost every IT product contains vulnerabilities that jeopardize its IT-security. However, they are often not discovered by the manufacturer himself, but only by external third parties (e.g. IT-security researchers) who, at best, report this to him promptly and confidentially. To deal with these reports, large companies often rely on so-called Coordinated Vulnerability Disclosure (CVD) processes that are also defined and described in various standards and recommendations (see [ISO18], [ISO13b], [NN18], [Hou+17], etc.). In comparison, small and medium-sized IT-companies (IT-SMEs) have thus far only rarely implemented a CVD-process, which is attributable, among others, to a lack of target group specific guidelines and the still widespread „Security By Obscurity“ approach. Based on international standards, a market study and insights drawn from change management, a 5-step model that, in contrast to all existing standards and recommendations, addresses the special needs of IT-SMEs, is derived in this master’s thesis. In addition, templates are provided for the implementation and suggestions and solutions are given for each phase of the application. Concludingly, the developed solutions are put into practice in an IT-SME and the results evaluated.
