Melden, ohne eine Anzeige zu riskieren

Die in den meisten Fällen einfachste Möglichkeit zum Melden einer Sicherheitslücke ist das Schwachstellenformular des Bundesamtes für Sicherheit in der Informationstechnik (BSI) beziehungsweise des dort angesiedelten CERT-Bund. Das funktioniert auch anonym. Das BSI kontaktiert dann die Unternehmen. Diese schließen die Sicherheitslücken dann meist recht schnell - der Bundesadler auf dem Briefkopf mache eben Eindruck, meint Karl.

Zudem hat das BSI auch mehr rechtliche Möglichkeiten und kann beispielsweise eine Produktwarnung aussprechen. Aber, "das BSI ist eine Sicherheitsbehörde, wie Polizei und Geheimdienste, und dem Innenministerium nachgeordnet. Das CERT-Bund arbeitet zwar anders als Polizei und Geheimdienste, und aus unserer Perspektive ziemlich unabhängig. Aber überlegt euch immer, was ihr denen erzählt und meldet - eine Lücke, die sich zum Beispiel für einen Staatstrojaner eignet, wie das nächste Heartbleed oder Log4shell, würden wir denen eher nicht melden", betont Karl. Entsprechend wird schon lange gefordert, dass das BSI eine unabhängige Behörde wird.

Keine Geheimhaltungsverträge eingehen

Hat man direkt mit dem Unternehmen oder einem Bug-Bounty-Programm Kontakt, müsse man aufpassen, dass man nicht auf Forderungen eingeht, die möglicherweise an einen selbst gestellt werden. Insbesondere bei Bug-Bounty-Programmen würden häufig Geheimhaltungsvereinbarungen (NDA, Non-disclosure Agreement) gefordert, sagt Wittmann. "Damit geht ihr gerne mal einen Knebelvertrag ein, der euch daran hindern soll, über die Sicherheitslücke zu sprechen oder noch einmal das System zu untersuchen", ergänzt Neumann.

Auch Zerforschung sei so etwas bereits passiert - und man ärgere sich bis heute darüber. "Damals hatten wir noch keine Erfahrung und haben eine Sicherheitslücke über das offizielle Bug-Bounty-Programm des Herstellers gemeldet. Was wir nicht richtig bedacht hatten: Dieses Programm enthielt eine Verschwiegenheitsklausel, sodass wir nichts darüber erzählen oder schreiben dürfen, das nicht vorher vom Hersteller freigegeben wurde", sagt Wittmann. Das gilt bis heute. Damit werde auch die Gesellschaft daran gehindert, über Sicherheitslücken zu diskutieren.

Wer Hilfe beim Melden brauche oder Fragen habe, könne sich gerne an den CCC (disclosure@ccc.de) oder Zerforschung (hallo@zerforschung.org) wenden.

Gefährlicher Hackerparagraf

"Wenn ihr eine Lücke gefunden habt und sie meldet, dann sagt ihr damit implizit auch, dass ihr die auch ausgenutzt habt. Das geht kaum anders, aber in Deutschland könnte das eine Straftat sein", sagt Karl. Denn der Hackerparagraf verbietet es, sich Zugriff auf besonders geschützte Daten zu verschaffen. Damit können auch Sicherheitsforscher angezeigt werden, die gute Absichten verfolgen.

Das bekam Wittmann im Sommer direkt zu spüren, nachdem sie eine Sicherheitslücke in einer App der CDU entdeckt und gemeldet hatte. Anschließend wurde sie von der CDU angezeigt - und damit ist sie nicht alleine. Immerhin hatte die Staatsanwaltschaft entschieden, dass die Daten derart schlecht geschützt waren, dass es nicht strafbar war, darauf zuzugreifen.

"Überlegt euch also gut, ob ihr eure Identität herausgeben möchtet. Melden geht ja auch ohne euren richtigen Namen", meint Karl. Allerdings ist man im Internet in der Regel nicht anonym unterwegs. Entsprechende Tools nach dem Entdecken einer Sicherheitslücke anzuwerfen, bringt auch nicht viel, denn irgendwo wurde die IP-Adresse dann schon mitgeloggt. Am besten, man achtet von vornherein darauf.

Doch nicht nur Sicherheitsforscher und Hacker tragen einiges an Verantwortung beim Melden, auch die betroffenen Unternehmen müssen einen guten Umgang mit den Sicherheitslücken und den Menschen, die sie melden, finden. Das ist nach wie vor oft nicht der Fall, wie nicht zuletzt die Anzeigen aus diesem Jahr zeigen. Deshalb geben die Sicherheitsforscher auch den Unternehmen entsprechende Tipps.