FZI Live
KA-IT-Si-Event "Rogue, thou hast liv'd too long."
Anleitung zu einem souveränen Umgang mit Schwachstellenmeldungen. Oder: "Don't ignore the messenger."
Im Jahr 2025 wurden über 45.000 neue Schwachstellen entdeckt, ein Teil davon durch unabhängige Sicherheitsforscher. Wie sollen Unternehmen auf die Meldung von Schwachstellen reagieren?
Der Trend zur Schwachstellenmeldung brachte verschiedene Gesetzes- und Normierungsstellen zum Handeln. So werden Unternehmen durch den Cyber Resiliance Act (CRA) und die NIS-2 verpflichtet, aktiv Schwachstellen zu behandeln. Zudem etablieren immer mehr Unternehmen eigene Bug-Bounty-Programme, was im Sinne der digitalen Souveränität zu begrüßen ist, aber auch Herausforderungen mit sich bringt. Trotz dieser positiven Entwicklungen müssen Sicherheitsforschende in der Praxis häufig noch große Hürden bei der Meldung von Schwachstellen überwinden.
Vortrag: Anleitung zu einem souveränen Umgang mit Schwachstellenmeldungen von Dr. Matthias Schmidt
In seinem Vortrag stellt Dr. Matthias Schmidt (aramido) anhand eines realen Falls Wege zum Umgang mit Schwachstellenmeldungen vor.
Ein Student entdeckt eine kritische Lücke in einer Software. Soll er die Schwachstelle per Full Disclosure veröffentlichen oder in ein koordiniertes Offenlegungsverfahren eintreten? Das Unternehmen muss bewerten, wie es auf die Meldung reagiert und wie die Schwachstelle behoben und dazu kommuniziert werden soll. Soll der Forschende beispielsweise verklagt werden oder ein Bug Bounty erhalten?
Im Anschluss an den Vortrag haben Sie Gelegenheit zum Austausch beim „Buffet-Networking“.
Infos zur Anmeldung
Die Kostenbeteiligung beträgt 36 € pro Person (zzgl. MwSt.), für Mitglieder des CyberForums oder des IT Security Clubs 18 € (zzgl. MwSt.).
Freien Eintritt erhalten Mitarbeitende der KA-IT-Si-Partner und Unterstützer*innen sowie Studierende des KIT.
