Team Austria und der ORF

Viele Organisationen setzen heute auf sogenannte Vulnerability Disclosure Policies (VDPs). Dabei handelt es sich um formalisierte Richtlinien, unter denen externe Sicherheitsforscher dazu eingeladen werden, Systeme kontrolliert auf potenzielle Schwachstellen zu überprüfen – im Sinne einer konstruktiven Zusammenarbeit zur Stärkung der Cybersicherheit.

Im Herbst 2024 schloss sich ein Teil des österreichischen Hacking- und CTF-Nationalteams im Rahmen der Vorbereitungen auf die European Cyber Security Challenge (ECSC) in Turin zusammen, um die Cybersicherheit österreichischer Organisationen mit bestehenden VDPs genauer unter die Lupe zu nehmen. Das Team entschied sich dabei unter anderem für den ORF, der seit rund zwei Jahren eine öffentlich zugängliche VDP führt (https://der.orf.at/vdp100.html).

Im Zuge ihrer Sicherheitsanalyse identifizierte das Forscherteam des CTF-Nationalteams ein Spektrum technischer Schwachstellen, von geringfügigen Auffälligkeiten bis hin zu komplexeren Angriffsszenarien mit potenzieller sicherheitsrelevanter Auswirkung. Die entdeckten Schwachstellen wurden mit Unterstützung von Cybersecurity Austria (CSA) an die zuständigen Stellen im ORF weitergeleitet.

Dank der strukturierten Vorgehensweise sowie der raschen Reaktion des CISO des ORF, Jörg Scheiblhofer, und seines Teams konnten kritische Themen zeitnah behoben werden. Als Zeichen der Wertschätzung wurden die beteiligten Sicherheitsforscher zu einem persönlichen Austausch ins ORF-Zentrum am Küniglberg eingeladen.

Der vorliegende Erfahrungsbericht zeigt exemplarisch, wie Vulnerability Disclosure Policies zur Stärkung der Sicherheitsarchitektur beitragen und durch gezielte Zusammenarbeit mit der Security-Community ein messbarer Mehrwert für Organisationen entstehen kann.

Aus einem Teil der Gruppe entstand mittlerweile die PWND Labs GmbH. Jannik Schager, Jonas Heschl und Johannes Puinbroek bieten Dienstleistungen in der Cybersecurity, vor allem Webapplikations-Penetrationtests an.