SPooFd


Zusammenfassung

Es ist ein offenes Geheimnis, dass ein sicherer E-Mail-Verkehr mit vielen Herausforderungen verbunden ist. Wir haben eine Schwachstelle bei vielen E-Mail-Anbietern gefunden, die es uns ermöglicht, E-Mails im Namen vieler Organisationen zu fälschen. Da Sicherheitslücken im E-Mail-Verkehr an der Tagesordnung sind, konzentrieren wir uns nicht auf eine weitere Sicherheitslücke im E-Mail-Verkehr, sondern stellen eine andere Frage: Wie reagieren Organisationen auf die Aufdeckung einer solchen Sicherheitslücke in freier Wildbahn? Wir konzentrieren uns speziell auf Organisationen aus dem öffentlichen Sektor und dem Bereich kritischer Infrastrukturen, die gesetzlich verpflichtet sind, auf solche Meldungen zu reagieren. Wir stellen fest, dass viele Organisationen schwer zu erreichen sind, wenn es um Sicherheitsfragen geht, selbst wenn sie eine Kontaktstelle für Sicherheitsfragen haben. Darüber hinaus zeigen unsere Ergebnisse, dass sich die Reaktions- und Lösungsquote durch eine Richtlinie verbessern lässt, dass aber selbst mit einer solchen Richtlinie die Hälfte unserer Meldungen nach 90 Tagen noch unbeantwortet und ungelöst ist. Auf der Grundlage dieser Ergebnisse geben wir Empfehlungen an Organisationen und Gremien wie der ENISA Empfehlungen zur Verbesserung künftiger koordinierte Verfahren zur Offenlegung von Schwachstellen zu verbessern.

image