Über den orga­ni­sierten Kauf von Sicher­heits­lücken

Die beste Methode Sicher­heits­lücken auf­zu­spüren besteht noch immer darin die Hacker anzu­heuern.  Darüber, wer das machen sollte, wie man es bezahlt und umsetzen könnte, lässt sich aller­dings trefflich streiten.

Man schätzt, dass rund 60 bis 80 % der auf­tre­tenden Sicher­heits­lücken den Software-Her­stellern durch externe Hin­weise bekannt werden. Meistens ver­folgen die­je­nigen, die solche Hin­weise an Unter­nehmen geben kei­nerlei finan­zielle Inter­essen. Der Trend, betroffene Unter­nehmen zuerst zu infor­mieren, gerät aber zuse­hends außer Mode. Denn diese Infor­ma­tionen erzielen auch sehr hohe Schwarz­markt­preise. Sehr oft sind es kri­mi­nelle Insti­tu­tionen, manchmal aber auch Regie­rungen und Militärs, die dazu bereit sind, viel Geld  zu bezahlen. Sinn und Zweck einer der­ar­tigen Aktion ist es immer, die Sicher­heits­lücken für eigene Zwecke aus­zu­nutzen, ehe sie durch den Software-Her­steller gepatcht werden können.

Der theo­re­tische Lösungs­ansatz

Einen inter­es­santen Ansatz zur Lösung von Sicher­heits­pro­blemen in han­dels­üb­licher Software lie­ferte jüngst ein ame­ri­ka­ni­scher Analyst der Firma NSS Labs. Er schlägt vor, ein inter­na­tio­nales Sicher­heits­lü­cken­kauf­pro­gramm zu initia­li­sieren. Das Sicher­heits­lü­cken­kauf­pro­gramm sollte dazu dienen, mit finan­ziell potenten Cyber­kri­mi­nellen mit­halten zu können und hohe Preise für das Melden von Sicher­heits­lücken zu bezahlen, um Kri­mi­nelle vom Markt zu drängen.  Als „Sicher­heits­lü­cken­käufer“ schlägt er eine inter­na­tionale Insti­tution und einen Zusam­men­schluss der größten Software-Her­steller vor. Finan­zieren sollen das zum einen die Software-Her­steller, und eine inter­na­tionale Kom­mission, die bei­spiels­weise aus einer Soft­ware­steuer finan­ziert werden könnte. Er stellt die Ver­luste, die den Volks­wirt­schaften durch diese Sicher­heits­lücken ent­stehen den Kosten für sein Modell gegenüber und hat errechnet, dass immer noch alle von einer solchen Lösung pro­fi­tieren würden.

Ich sehe das aller­dings eher als theo­re­ti­schen und rein rech­ne­ri­schen Gewinn. Denn die Spio­na­ge­af­fären der letzten Monate haben bei allen einen schalen Nach­ge­schmack hin­ter­lassen. Ver­mutlich würden viele sich nicht besser fühlen, wenn Regie­rungen offi­ziell Sicher­heits­lücken kaufen würden.  Zumal viele Men­schen davon aus­gehen, dass es ohnehin nur Regie­rungen möglich ist, einen Schädling vom Ausmaß „Stuxnet“ zu plat­zieren.

Die prak­tische Lösung

Es gibt für Software-Her­steller aber noch andere Wege, um beim Kampf gegen Cyber­kri­mi­nelle eine bessere Figur zu machen. Spontan fällt mir dazu Mozilla ein, wo bereits seit 2004 das Pro­gramm „ Bug Bounty“ (auf Deutsch Feh­ler­prämie) exis­tiert.

Inzwi­schen werden die soge­nannten Bug­­­bounty-Pro­­­gramme von vielen Software-Her­stellern aus­gelobt.  Manche sind mehr, manche weniger aus­ge­feilt.  Der Vorteil ist aber, jedes Unter­nehmen kann eigen­ver­ant­wortlich bestimmen, wie viel Geld ihm das Auf­finden eines Fehlers wert ist.
 
Wie erfolg­reich das Pro­gramm bei Facebook ist, kann man hier nach­lesen. Im Zeitraum von 2 Jahren wurde mehr als eine Million Dollar an 329 Per­sonen in 51 Ländern aus­be­zahlt.

Diesem Sog kann sich anscheinend auch Yahoo nicht ent­ziehen. Denn dort hat man erst kürzlich auf die negative Bericht­erstattung über Beloh­nungen für das Auf­finden von Sicher­heits­lücken reagiert. Ab sofort will das Unter­nehmen ein Bug­­­bounty-Pro­­­gramm instal­lieren und die Finder mit Geld statt T‑Shirts belohnen.

Und das Prinzip kommt mir sinnvoll vor, denn ich halte es nicht für richtig, wenn sich hier über­ge­ordnete Insti­tu­tionen ein­schalten. In einem muss ich dem Ver­fasser der Studie aber Recht geben: Wenn die vielen ehr­lichen Finder ent­spre­chend belohnt werden, geraten die Cyber­kri­mi­nellen über kurz oder lang ins Hin­ter­treffen.

Bild­quelle: © alphaspirit / Fotolia