Sicherheitslücken : Mozilla und Google locken junge Hacker

Ein Realschüler aus Baden-Württemberg bekommt zum zweiten Mal Geld für das Aufspüren von Sicherheitslücken. Für große Internetunternehmen lohnt sich das.
Im Firefox-Browser hat der 17-jährige Robert Kugler zwei Sicherheitslücken gefunden. © LEON NEAL/AFP/Getty Image

Als es eines Nachmittags regnete und ihm langweilig wurde, beschloss Robert Kugler, einen Geheimdienst zu hacken. "Ich habe mir auf Wikipedia eine Liste von Geheimdiensten herausgesucht und dann deren Internetseiten angesehen", sagt der 17-Jährige aus Welzheim bei Stuttgart. Er wurde schnell fündig.

Auf der Website des belgischen Militärgeheimdienstes entdeckte er eine sogenannte XSS-Schwachstelle (XSS steht für Cross-Site-Scripting), mit der es möglich wäre, anderen Besuchern der Seite einen Schadcode unterzujubeln. Geheime Dokumente waren nicht in Gefahr, aber peinlich sind solche Sicherheitslücken trotzdem, vor allem für einen Geheimdienst. Er informierte die Behörde über seinen Fund und bekam Anfang Februar einen Dankesbrief.

Bei rund 50 Organisationen und Unternehmen hat Kugler schon Sicherheitslücken gefunden, darunter Banken, Rundfunkanstalten und die Rüstungsfirma Rheinmetall. Manche bedankten sich mit einem kleinen Präsent, andere reagierten nicht. Mozilla bedankte sich mit Geld.

Im Firefox-Browser von Mozilla hat Kugler zweimal Schwachstellen entdeckt und gemeldet. Beim ersten Mal bekam er 1.500 Dollar, beim zweiten Mal im März 3.000 Dollar.

3.000 Dollar für eine kritische Lücke

Kugler hatte einen Weg entdeckt, den Browser in Windows dazu zu bringen, ein Schadprogramm auszuführen, ohne dass der Nutzer es merkt. Um ernsthaft Schaden anzurichten, müsste dieses Programm allerdings schon vorher auf dem Rechner des Opfers liegen. Mozilla stufte die Sicherheitslücke dennoch als kritisch ein. Sie wird in einer der kommenden Versionen des Browsers endgültig geschlossen, heute wäre sie unter bestimmten Voraussetzungen noch ausnutzbar.

Mozilla hat 2004 ein Programm namens Bug Bounty aufgelegt, um jene zu belohnen, die solche Lücken entdecken und Mozilla darauf hinweisen – und sie nicht etwa selbst ausnutzen oder an Dritte verkaufen. Die 3.000 Dollar zahlt Mozilla für jede kritische Lücke. Andere Unternehmen zahlen mehr.

Programme zur günstigen Qualitätskontrolle

Ein Teenager, der sich Pinkie Pie nennt, hat für seine Hacks sogar schon 160.000 Dollar bekommen, und zwar von Google: Im vergangenen Jahr gewann er zweimal 60.000 Dollar bei Googles Pwnium-Wettbewerben, weil er Schwachstellen im Chrome-Browser entdeckte. Und vor wenigen Wochen bekam er noch einmal 40.000 Dollar für seinen partiellen Hack des browserbasierten Betriebssystems Chrome OS. 

Ähnlich wie Mozilla lässt Google seinen Browser und das Betriebssystem ständig von externen Hackern untersuchen. Chromium Secuirity Rewards Program heißt die Initiative, die es seit 2010 gibt. Für die Unternehmen ist es, auch wenn sie hin und wieder einige Tausend Dollar an Hacker zahlen, eine günstige Qualitätskontrolle.

Zwar hat Robert Kugler nur 30 Minuten gebraucht, um die zweite Lücke im Firefox zu finden. Allerdings beschäftigt er sich schon seit zwei Jahren mit der Software; diese Arbeitszeit muss eingerechnet werden.

Verlagsangebot

Entdecken Sie mehr.

Lernen Sie DIE ZEIT 4 Wochen lang im Digital-Paket zum Probepreis kennen.

Hier testen

Kommentare

3 Kommentare Kommentieren