Die Gewährleistung der Cybersicherheit ist wohl die oberste Maxime für Entwickler, Administratoren und Nutzer informationstechnischer Systeme. Entsprechende Maßnahmen können vielfältig sein. Ein zunehmend beliebtes Mittel sind „Bug Bounty“-Programme, bei denen rechtschaffene Hacker für das Entdecken und Melden (responsible disclosure) von Sicherheitslücken belohnt werden.
Lukrative Kopfgeldjagd auf Sicherheitslücken
Einer der bekanntesten Ausschreiber für Bug Bounties dürfte Google sein. Der Konzern ruft qualifizierte Hackerinnen und Hacker schon seit Jahren dazu auf, seine Produkte auf Mängel zu überprüfen und zeigt sich gegenüber ehrlichen Findern für entsprechende Meldungen erkenntlich.[1] Sogar Hinweise auf Lücken in Dritt-Apps, die mindestens 100 Millionen mal über den Play-Store installiert wurden, werden prämiert.[2] Über das Programm sollen insgesamt über 29 Millionen US-Dollar ausgezahlt worden sein, ganze 11.000 Sicherheitslücken wurden von mehr als 2000 Jägern aus 84 Ländern aufgedeckt.[3] Allein 2020 hat Google 6,7 Millionen Dollar in sein Programm investiert – 83% mehr als noch im Vorjahr.[4]
Und auch andere Unternehmen nutzen Bug Bounty-Programme, um ehrliche Hacker zum Melden von Lücken zu motivieren. Microsoft hatte zwischen dem 1. Juli 2020 und Ende Juni 2021 13,6 Millionen Dollar ausgeschüttet, das höchste Kopfgeld belief sich auf 200.000 Dollar.[5] Die eCommerce-Plattform Shopify belohnte erst kürzlich einen Informatikstudenten, der zufällig eine gravierende Schwachstelle entdeckt hatte, dank der er auf private Shopify-Repositories zugreifen konnte, mit 50.000 US-Dollar.[6]
Großzügige „Kopfgelder“ können für Hacker mehr als nur einen angenehmen Nebenverdienst darstellen. Ein Hacker aus Großbritannien verdiente damit 2020 über 370.000 Dollar, die Programme machen erfolgreiche Bounty Hunter zu Millionären.[7] Besonders während der Corona-Pandemie nutzten viele die Zwangspause von Freizeitaktivitäten zum Aufspüren von Sicherheitslücken.
Aktuell wird das Bug Bounty-Programm von Google umgestaltet; eine neue Plattform soll nach eigener Aussage „mehr Interaktionsmöglichkeiten und ein bisschen gesunden Wettbewerb durch Gamification, länderspezifische Bestenlisten, Auszeichnungen/Abzeichen für bestimmte Fehler und mehr!“ bieten und die bisher getrennten Teilprogramme zusammenführen.[8] Insbesondere die Rankings sind eine beliebte Referenz bei der Job-Suche. Neben den potenziell großzügigen Belohnungen ist für viele Bounty Hunter auch die Chance, einen wertvollen Beitrag zur IT-Sicherheit zu leisten, indem sie in einem realistischen Angriffsszenario Lücken ausfindig machen, ein Motivator.[9]
„Friendly Hackers“ leben gefährlich
Die Bounties sind nicht mit den Summen, die durch Ransomware oder „bösartige“ Hacks erbeutet werden können, vergleichbar, sollen aber immerhin eine legale Alternative darstellen. Doch nicht in jedem Fall werden die guten Absichten honoriert. Vor allem bei gut gemeinten, aber ungebetenen Aktionen setzen sich Hacker unter Umständen erheblichen rechtlichen Risiken aus, und auch bei schlecht formulierten Teilnahmebedingungen für ausgeschriebene Bug Bounties können ungewollte juristische Konsequenzen drohen.[10] Angesichts der Bedeutung und positiven Auswirkungen auf die Cybersicherheit ist das nicht nur aus den offensichtlichen Gründen problematisch, sondern verhöhnt darüber hinaus auch ehrliche Hacker.
Genau das musste die Softwareentwicklerin Lilith Wittman nun am eigenen Leib erfahren: Sie hatte in der CDU-Connect-App, die unter anderem Anwendungen für den Wahlkampf bereitstellt, eine Sicherheitslücke gefunden.[11] Anstelle von Anerkennung oder gar einer angemessenen Belohnung für die CCC-Aktivistin gab es jedoch eine Strafanzeige, das LKA Berlin ermittelte.[12] Inzwischen ist die Partei wegen der medialen Empörung zurückgerudert, hat den Strafantrag zurückgezogen und sich öffentlich entschuldigt. Der Bundesgeschäftsführer der CDU Stefan Hennewig bemühte sich auf Twitter um Schadensbegrenzung und erklärte, man habe lediglich eine Veröffentlichung personenbezogener Daten durch Dritte angezeigt und in dem Zusammenhang ihren Namen genannt, was ein Fehler gewesen sei. Die Reaktionen waren gemischt:
Jawoll, CDU erzielt Gold im Rudern! 🚣♀️🥇
— Holosign12🍯 (@holosign12) August 4, 2021
Also ich hätte zwar noch einige Fragen, z. B. wie man versehentlich jemanden anzeigen kann und auch wie groß der Umfang der Sicherheitslücke war, aber ein Bekenntnis zu RD und auch die aufrichtigen Worte sind ehrenwert. 👍
— Henning Tillmann (@henningtillmann) August 4, 2021
CCC zieht Konsequenzen
Der Chaos Computer Club (CCC) hat indes seine Hilfsbereitschaft zumindest gegenüber der CDU aufgekündigt.[13] Das Verhalten der Partei im Nachgang der responsible disclosure sei zwar „ein häufiger erster Impuls aus Frustration und Inkompetenz“, doch normalerweise überwiege die Dankbarkeit für die „kostenlose Nachhilfe in IT-Sicherheit“ durch die ehrenamtlichen Sicherheitsforscherinnen und -forscher.[14]
Als Konsequenz der destruktiven Reaktion der Partei will der Hacker-Verein das „implizite Ladies-and-Gentlemen-Agreement der responsible disclosure“ nicht weiter aufrechterhalten: künftig sollen – jedenfalls vom CCC – keine Sicherheitslücken mehr an die CDU gemeldet werden.
Fazit
Die rechtliche Grauzone, in der auch verantwortungsbewusste friendly hackers operieren, führt immer wieder zu Problemen und Unternehmen, Parteien oder andere Institutionen riskieren den Verlust bedeutender Verbündeter beim Auffinden von Sicherheitslücken, bevor diese von weniger ehrenwerten Individuen entdeckt und ausgenutzt werden können. Auch die eindeutig zweideutige Formulierung von Bug Bounty-Aufrufen, in denen zwar um Mithilfe gebeten wird, aber zugleich in den Teilnahmebedingungen darauf hingewiesen wird, dass die Nutzungsregeln und geltenden Gesetze einzuhalten sind (was de facto gerade die relevanten Handlungen ausschließt)[15], kann nicht zielführend sein.
[1] Vgl. Google Security Reward Programs.
[2] Vgl. Petereit, 2019: Googles Belohnungen für Bug-Finder erreichen Rekordhöhe, t3n.de, 01.02.2020.
[3] Vgl. Cattafesta, Bug Bounty: Google a distribué 29 millions dedollars aux chercheurs en sécurité, iGen.fr, 03.08.2021.
[4] Vgl. Sahora, Google paid $6.7 million in bug bounty rewards in 2020, The Hindu, 08.02.2021.
[5] Vgl. Beiersmann, Prämien für Sicherheitslücken: Microsoft zahlt in zwölf Monaten 13,6 Millionen, ZDNet, 12.07.2021.
[6] Vgl. Halfacree, Compsci student walks off with $50,000 after bug bounty report blows gaping hole in Shopify software repos, The Register, 27.07.2021.
[7] Vgl. Tidy, Covid: White hat bounty hackers become millionaires, BBC News, 10.03.2021, dort auch zum Folgenden.
[8] Grüner, Google baut Bug-Bounty-Programm mit Gamification neu, Golem.de, 28.07.2021, dort auch zum Folgenden.
[9] Vgl. Mercer, Hacker verbessern die Sicherheit bei Finanzinstituten, GI.de, 04.08.2021.
[10] Vgl. Sokolov, US-Bug-Bounties lassen „gute“ Hacker in die Falle tappen, Heise Online, 21.01.2018, dort auch zum Folgenden.
[11] Vgl. Holland, CDU, CSU und Volkspartei: Wahlkampf-Apps gaben persönliche Daten preis, Heise Online, 13.05.2021.
[12] Vgl. Ernst, CDU zieht Anzeige wegen connect-App zurück und bittet um Entschuldigung, Heise Online, 04.08.2021; Reuter, Berliner LKA ermittelt gegen IT-Expertin, die Sicherheitslücken in Partei-App fand, Netzpolitik.org, 04.08.2021, dort auch zum Folgenden.
[13] Vgl. Hoppenstedt, CDU entschuldigt sich für Anzeige gegen Sicherheitsforscherin, Spiegel Online, 04.08.2021.
[14] CCC, CCC meldet keine Sicherheitslücken mehr an CDU, Pressemitteilung vom 04.08.2021, dort auch zum Folgenden; Vgl. auch Grüner, CDU zeigt offenbar Hackerin nach Melden von Lücken an, Golem.de, 04.08.2021.
[15] Vgl. Sokolov, US-Bug-Bounties lassen „gute“ Hacker in die Falle tappen, Heise Online, 21.01.2018.
Sämtliche Links wurden zuletzt am 04.08.2021 abgerufen.