Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Über den organisierten Kauf von Sicherheitslücken
Die beste Methode Sicherheitslücken aufzuspüren besteht noch immer darin die Hacker anzuheuern. Darüber, wer das machen sollte, wie man es bezahlt und umsetzen könnte, lässt sich allerdings trefflich streiten.
Man schätzt, dass rund 60 bis 80 % der auftretenden Sicherheitslücken den Software-Herstellern durch externe Hinweise bekannt werden. Meistens verfolgen diejenigen, die solche Hinweise an Unternehmen geben keinerlei finanzielle Interessen. Der Trend, betroffene Unternehmen zuerst zu informieren, gerät aber zusehends außer Mode. Denn diese Informationen erzielen auch sehr hohe Schwarzmarktpreise. Sehr oft sind es kriminelle Institutionen, manchmal aber auch Regierungen und Militärs, die dazu bereit sind, viel Geld zu bezahlen. Sinn und Zweck einer derartigen Aktion ist es immer, die Sicherheitslücken für eigene Zwecke auszunutzen, ehe sie durch den Software-Hersteller gepatcht werden können.
Der theoretische Lösungsansatz
Einen interessanten Ansatz zur Lösung von Sicherheitsproblemen in handelsüblicher Software lieferte jüngst ein amerikanischer Analyst der Firma NSS Labs. Er schlägt vor, ein internationales Sicherheitslückenkaufprogramm zu initialisieren. Das Sicherheitslückenkaufprogramm sollte dazu dienen, mit finanziell potenten Cyberkriminellen mithalten zu können und hohe Preise für das Melden von Sicherheitslücken zu bezahlen, um Kriminelle vom Markt zu drängen. Als „Sicherheitslückenkäufer“ schlägt er eine internationale Institution und einen Zusammenschluss der größten Software-Hersteller vor. Finanzieren sollen das zum einen die Software-Hersteller, und eine internationale Kommission, die beispielsweise aus einer Softwaresteuer finanziert werden könnte. Er stellt die Verluste, die den Volkswirtschaften durch diese Sicherheitslücken entstehen den Kosten für sein Modell gegenüber und hat errechnet, dass immer noch alle von einer solchen Lösung profitieren würden.
Ich sehe das allerdings eher als theoretischen und rein rechnerischen Gewinn. Denn die Spionageaffären der letzten Monate haben bei allen einen schalen Nachgeschmack hinterlassen. Vermutlich würden viele sich nicht besser fühlen, wenn Regierungen offiziell Sicherheitslücken kaufen würden. Zumal viele Menschen davon ausgehen, dass es ohnehin nur Regierungen möglich ist, einen Schädling vom Ausmaß „Stuxnet“ zu platzieren.
Die praktische Lösung
Es gibt für Software-Hersteller aber noch andere Wege, um beim Kampf gegen Cyberkriminelle eine bessere Figur zu machen. Spontan fällt mir dazu Mozilla ein, wo bereits seit 2004 das Programm „ Bug Bounty“ (auf Deutsch Fehlerprämie) existiert.
Inzwischen werden die sogenannten Bugbounty-Programme von vielen Software-Herstellern ausgelobt. Manche sind mehr, manche weniger ausgefeilt. Der Vorteil ist aber, jedes Unternehmen kann eigenverantwortlich bestimmen, wie viel Geld ihm das Auffinden eines Fehlers wert ist.
Wie erfolgreich das Programm bei Facebook ist, kann man hier nachlesen. Im Zeitraum von 2 Jahren wurde mehr als eine Million Dollar an 329 Personen in 51 Ländern ausbezahlt.
Diesem Sog kann sich anscheinend auch Yahoo nicht entziehen. Denn dort hat man erst kürzlich auf die negative Berichterstattung über Belohnungen für das Auffinden von Sicherheitslücken reagiert. Ab sofort will das Unternehmen ein Bugbounty-Programm installieren und die Finder mit Geld statt T‑Shirts belohnen.
Und das Prinzip kommt mir sinnvoll vor, denn ich halte es nicht für richtig, wenn sich hier übergeordnete Institutionen einschalten. In einem muss ich dem Verfasser der Studie aber Recht geben: Wenn die vielen ehrlichen Finder entsprechend belohnt werden, geraten die Cyberkriminellen über kurz oder lang ins Hintertreffen.
Bildquelle: © alphaspirit / Fotolia

Über die Autorin:
Diplom-Kauffrau
Seit 1994 tätig bei DATEV eG. Im Bereich IT-Dienstleistungen und Security seit 2005 zuständig für übergreifende Kommunikation und Vermarktung technischer Produktlösungen. Verfasst in diesem Kontext regelmäßig Beiträge in der Kundenzeitschrift der DATEV und ist Co-Autorin des Leitfadens „Deutschland sicher im Netz”. Privat Mutter eines „Digital Natives” und „technische Beraterin” der Unternehmer im Bekanntenkreis.

Neueste Kommentare