Nächstes Event
Rogue, thou hast liv'd too long
16.04.2026
Anleitung zu einem souveränen Umgang mit Schwachstellenmeldungen
Oder: Don't ignore the messenger
Im Jahr 2025 wurden über 45.000 neue Schwachstellen entdeckt, ein Teil davon durch unabhängige Sicherheitsforscher. Auf diesen Trend regieren verschiedene Gesetzes- und Normierungsstellen. So werden Unternehmen durch den Cyber Resiliance Act (CRA) und die NIS-2 verpflichtet, aktiv Schwachstellen zu behandeln. Zudem etablieren immer mehr Unternehmen eigene Bug-Bounty-Programme, was im Sinne der digitalen Souveränität zu begrüßen ist, aber auch mit seinen ganz eigenen Herausforderungen daherkommt. Trotz dieser positiven Entwicklungen müssen Sicherheitsforschende in der Praxis häufig noch große Hürden bei der Meldung von Schwachstellen überwinden.
Der Vortrag folgt einem fiktiven, aber auf wahren Begebenheiten beruhenden Fall: Ein Student entdeckt eine kritische Lücke in einer Software. Der Student steht nun vor der Entscheidungen die Schwachstelle per Full Disclosure zu veröffentlichen oder in ein koordiniertes Offenlegungsverfahren einzutreten. Obwohl der Security Officer des Softwareherstellers bereits ein Vulnerability Disclosure Programm etabliert hat, kennt die Rechtsabteilung nur den "Hackerparagraphen".
Das Unternehmen muss bewerten, wie es auf die Meldung reagiert - soll der Forschende verklagt werden oder ein Bug Bounty erhalten? - und wie die Schwachstelle behoben und dazu kommuniziert werden soll. Anhand des unterhaltsamen Beispiels wird in dem Vortrag abgeleitet, wie ein professioneller Umgang mit der Meldung und Offenlegung von Schwachstellen idealerweise aussieht. Gezielte Kommunikation hilft Risiken zu senken, Compliance Ansprüche zu erfüllen und befähigt letztlich sowohl Forschende als auch Unternehmen, Schwachstellen zeitnah zu melden und zu schließen.
Auf dem kommenden Event der KA-IT-Si stellen Dr. Matthias Schmidt und Armin Harbrecht (aramido) Wege zum Umgang mit Schwachstellenmeldungen vor. Im Anschluss haben Sie wie immer Gelegenheit zum fachlichen und persönlichen Austausch beim "Buffet-Networking".
Wir freuen uns auf Sie!
Donnerstag, 16.04.2026, 18 Uhr
House of Living Labs (HoLL), Forschungszentrum Informatik (FZI)
Haid-und-Neu-Straße 5a, 76131 Karlsruhe
Die Kostenbeteiligung beträgt 36 € pro Person (zzgl. MwSt.), für Mitglieder des CyberForums oder des IT Security Clubs 18 € (zzgl. MwSt.). Freier Eintritt für Mitarbeiterinnen und Mitarbeiter der KA-IT-Si-Partner und Unterstützer sowie Studentinnen und Studenten des KIT.
Die Rechnungstellung erfolgt nach der Veranstaltung. Sollten Sie die Veranstaltung aus terminlichen oder sonstigen Gründen nicht besuchen können, bitten wir um eine Stornierung der Anmeldung bis Sonntag, 12.04.2026. Bei nicht fristgerechter Stornierung oder Nichterscheinen wird die gesamte Teilnahmegebühr in Rechnung gestellt. Mitarbeiterinnen und Mitarbeitern der KA-IT-Si-Partner und -Unterstützer sowie Studentinnen und Studenten des KIT wird in diesen Fällen eine Ausfallgebühr in Höhe von 15 € in Rechnung gestellt.
Wir bitten um Verständnis, dass wir uns das Recht vorbehalten, bereits erteilte Zusagen in Einzelfällen zurückzunehmen, weil beispielsweise eine Veranstaltung überbucht ist.