Warum Disclosure-Prozesse existieren
Schwachstellen sind unvermeidbar. Wie sie gemeldet, behandelt und schließlich kommuniziert werden, entscheidet jedoch über den Schaden für Nutzer und Organisationen. Responsible Disclosure existiert, weil sowohl unkontrollierte Veröffentlichung als auch reines Verschweigen schlechtere Ergebnisse liefern.
Wie du einen Kontakt findest
- security.txt: meist unter /.well-known/security.txt erreichbar.
- Bug-Bounty-Programme: klare Regeln, Scope und Safe Harbor.
- Dediziertes Postfach: security@, abuse@, psirt@.
- CERT-Bund (BSI): vermittelt in Deutschland, wenn der Hersteller nicht reagiert.
- Koordinierende CERTs: bei internationalen Produkten oft passender Ansprechpartner.
Typischer Ablauf einer sauberen Meldung
| Schritt | Inhalt |
|---|---|
| 1. Erstkontakt | Kurz: Wer du bist, dass du gemeldet hast, dass du dich an Disclosure haelst. |
| 2. Detail-Report | Reproduktionsschritte, betroffenes Asset, Impact, Empfehlung. |
| 3. Zeitrahmen | Frist für Fix und ggf. Veröffentlichung (oft 90 Tage). |
| 4. Verifikation | Bestaetigung durch Hersteller, ggf. Re-Test. |
| 5. Public Disclosure | Erst nach Fix oder Ablauf der Frist, in Absprache. |
Häufige Missverständnisse
- "Wer gut meint, hat nichts zu befürchten" - Gesetz fragt nicht nach Absicht.
- "Ein Tweet ist auch Disclosure" - öffentliche Veröffentlichung ohne vorherige Meldung gilt als Full Disclosure und ist rechtlich heikel.
- "90 Tage muss man immer einhalten" - bei aktiver Ausnutzung kann ein kürzerer Zeitrahmen verantwortbar sein, in Abstimmung mit dem Hersteller oder CERT.
Anfängerfehler vermeiden
- Mehr ausnutzen als nötig - das ist nicht mehr Disclosure, sondern Eskalation.
- Drohung mit Veröffentlichung als Druckmittel.
- Fundstellen ohne juristische Beratung öffentlich diskutieren.
- Daten anderer Nutzer einsehen oder herunterladen.
Praxisbezug
Legale Übung: Schreibe ein Mock-Disclosure-Schreiben für ein fiktives Unternehmen. Achte auf Tonalität, Struktur und realistische Zeitrahmen.
Portfolio-Idee: Erstelle ein Repository mit Vorlagen für Erstkontakt, Detailreport und Follow-up - in deutsch und englisch. Solche Templates zeigen Reife und sind in Bewerbungen ein gutes Signal.
Legal-Hinweis
Diese Inhalte sind keine Rechtsberatung. Wer in einer konkreten Situation eine Schwachstelle melden möchte und sich rechtlich unsicher ist, sollte vor der Meldung juristischen Rat einholen, idealerweise mit IT-Security-Schwerpunkt.
Nächste Lernschritte
FAQ
Was ist Responsible Disclosure?
+
Ein Prozess, bei dem eine entdeckte Schwachstelle dem Betreiber so gemeldet wird, dass er sie beheben kann, bevor Details öffentlich werden. Ziel ist Schutz der Nutzer und Vermeidung rechtlicher Risiken für alle Beteiligten.
Was ist security.txt?
+
Eine standardisierte Datei nach RFC 9116 unter /.well-known/security.txt, die Kontaktinformationen und Richtlinien für Sicherheitsmeldungen enthaelt. Ein erster Anlaufpunkt für jeden Disclosure-Versuch.
Macht mich allein das Finden strafbar?
+
Es kommt darauf an, wie der Fund entstanden ist. Reine Beobachtung im normalen Nutzungsrahmen ist in der Regel unproblematisch. Aktive Tests ohne Erlaubnis können bereits §§ 202a/202c StGB erfüllen - auch wenn die Absicht gut ist.
Wie lange sollte ich auf Antwort warten?
+
Branchenüblich sind 90 Tage zwischen Meldung und möglicher Veröffentlichung. Bei kritischen Schwachstellen kann diese Frist verkuerzt werden, immer in Abstimmung mit dem Hersteller.
Was tun, wenn niemand antwortet?
+
Eskalation: zweite Mail, anderer Kanal, CERT-Bund einschalten. Erst nach mehreren erfolglosen Versuchen über eine mögliche Veröffentlichung nachdenken - und davor unbedingt juristisch beraten lassen.