Kopfgeldjagd im Internet – Seite 1

In der amerikanischen Mythologie hat der Bounty Hunter, der Kopfgeldjäger, einen Ehrenplatz. Zu einer Zeit, als die Macht des Staates zu gering war, um die Gesetze auch überall zu vollstrecken, überließ man das Problem dem privaten Markt. Bis heute ziehen in den USA Kopfgeldjäger durchs Land, um Verdächtige zu finden.

Im Internet gibt es ein ähnliches Phänomen, das ähnlich zwiespältig ist. Das Konzept heißt Bug Bounty, Fehlerprämie. Wer auf einer Website oder in einem Programm Fehler findet, kann sie dem betroffenen Unternehmen melden und bekommt dafür – wenn er sich an bestimmte Regeln hält – in vielen Fällen Geld.

Viele Firmen haben inzwischen Bug-Bounty-Programme und bezahlen, wenn jemand ein Sicherheitsleck entdeckt: Facebook beispielsweise, Microsoft, Google oder PayPal. Meistens sind es mehrere tausend Dollar, je nach Schwere des Fehlers kann es auch deutlich mehr sein.

Das ist clever und sogar irgendwie nett, immerhin sparen die Firmen Geld, wenn jemand ihre Produkte besser macht und damit ihre Arbeit erledigt. Da scheint es nur fair, denjenigen zu belohnen. Für Programmierer im Bereich Sicherheit ist das geradezu eine Geschäftsgrundlage, vor allem wenn sie in Ländern leben, in denen das Lohnniveau niedrig ist. Es gibt im Netz Listen, aus denen hervorgeht, welche Firmen wie viel zahlen.

Gleichzeitig ist es für Hacker eine Alternative zum Schwarzmarkt. Schon immer wurde mit sogenannten Zero-Day-Exploits gehandelt, also mit bisher unbekannten Lücken. Auch Geheimdienste kaufen solche Sicherheitslücken für viel Geld, um sie für ihre Zwecke zu nutzen. Die Prämien bieten da einen Ausweg für jene, die legal handeln wollen. 

Das Problem sind die Regeln, die Firmen gelegentlich daran knüpfen. Denn die Bounty-Programme werden auch dazu benutzt zu verhindern, dass Probleme einer größeren Öffentlichkeit bekannt werden. Die Firmen kaufen sich Schweigen. Das ist nicht unbedingt im Sinne der Nutzer, die von solchen Fehlern betroffen sind.

Maulkorb

Der Nachteil für Nutzer: Sie wissen erstens nichts von der Lücke und können sich also auch nicht aktiv schützen. Zweitens können sie nicht überprüfen, ob die Lücke geschlossen wurde.

PayPal beispielsweise schreibt den Bug-Einsendern vor: "You may not publicly disclose your findings or the contents of your Submission in any way without PayPal’s prior written approval." Nur wenn Paypal es erlaubt, darf der Einsender demnach über das Sicherheitsleck reden. Ob und wann Paypal so etwas erlaubt, steht nicht in den Regeln.

Das amerikanische Telefonunternehmen AT&T fordert: "... you affirm that you have not disclosed and agree that you will not disclose the bug or your submission to anyone other than AT&T via the AT&T Bug Bounty Process." Ein eindeutiger Maulkorb, niemandem darf demnach von dem Sicherheitsleck berichtet werden.

Responsible Disclosure ist der Standard

Das Geld wird damit zum Druckmittel. So bekommt ein palästinensischer Hacker, der den Account von Facebook-Chef Mark Zuckerberg manipulieren konnte, wohl keine Prämie. Facebook hatte nicht auf seine warnenden Mails reagiert, daher hatte er das Problem veröffentlicht – damit aber nach Ansicht von Facebook gegen die Regeln verstoßen.

Seit vielen Jahren debattieren Sicherheitsanalysten, wie Hacker mit entdeckten Lücken umgehen sollten, um der Öffentlichkeit zu nutzen und den Unternehmen nicht zu schaden. Es gibt zwei anerkannte Wege namens full disclosure und responsible disclosure. Komplette Offenlegung ist der erste Ausdruck und bedeutet, dass der Hacker das Unternehmen informiert, seinen Fund aber zur gleichen Zeit öffentlich macht. Die Firma wird damit unter Zeitdruck gesetzt, da die Lücke nun von jedem missbraucht werden kann. Genau deswegen gibt es auch Kritik an diesem Weg. Wobei die Idee besagt, dass gerade große und daher teure Probleme dank des öffentlichen Drucks schneller beseitigt werden und Nutzer trotz des höheren Risikos  profitieren.

Der zweite Begriff heißt übersetzt so viel wie verantwortungsvolle Enthüllung. Das betroffene Unternehmen wird zuerst informiert und bekommt Zeit, um das Problem zu beheben – als üblich gelten 60 Tage, also zwei Monate. Erst dann macht der Hacker den Fehler öffentlich.

Klage gegen Veröffentlichung

Bei beiden Konzepten steht die Transparenz im Vordergrund. Die Öffentlichkeit und damit die Nutzer sollen über eventuelle Probleme Bescheid wissen, um sich darauf einstellen zu können. Firmen hingegen argumentieren gern, mit der Veröffentlichung würden auch Kriminelle erst auf das Problem aufmerksam, Unwissenheit sei daher für alle besser.

Der Volkswagen-Konzern hat mit dieser Begründung gerade mehrere Forscher verklagt. Die wollten bei einem Sicherheitskongress darlegen, wie sie die Wegfahrsperre einiger Autotypen gehackt haben. Dabei hatten die drei sogar den Weg des verantwortungsbewussten Veröffentlichens gewählt und Volkswagen lange vor dem geplanten Kongressvortrag informiert. Volkswagen klagte trotzdem, damit sie den Mund hielten.

Solche Klagen erregen Aufmerksamkeit und sorgen nicht unbedingt für ein gutes Image. Deswegen ist es für Unternehmen so attraktiv, Prämien zu zahlen und diese an Bedingungen zu knüpfen. Fairerweise sollte erwähnt werden, dass sich viele Firmen dem Konzept des responsible disclosure verpflichtet fühlen und lediglich darum bitten, ihnen etwas Zeit zu geben, bevor Sicherheitslücken veröffentlicht werden. Manche aber können der Versuchung, Sicherheitsprobleme zu verheimlichen, offensichtlich nicht widerstehen.