Melden, ohne eine Anzeige zu riskieren

Die in den meisten Fällen einfachste Möglichkeit zum Melden einer Sicherheitslücke ist das Schwachstellenformular des Bundesamtes für Sicherheit in der Informationstechnik (BSI) beziehungsweise des dort angesiedelten CERT-Bund. Das funktioniert auch anonym. Das BSI kontaktiert dann die Unternehmen. Diese schließen die Sicherheitslücken dann meist recht schnell - der Bundesadler auf dem Briefkopf mache eben Eindruck, meint Karl.

Zudem hat das BSI auch mehr rechtliche Möglichkeiten und kann beispielsweise eine Produktwarnung aussprechen. Aber, "das BSI ist eine Sicherheitsbehörde, wie Polizei und Geheimdienste, und dem Innenministerium nachgeordnet. Das CERT-Bund arbeitet zwar anders als Polizei und Geheimdienste, und aus unserer Perspektive ziemlich unabhängig. Aber überlegt euch immer, was ihr denen erzählt und meldet - eine Lücke, die sich zum Beispiel für einen Staatstrojaner eignet, wie das nächste Heartbleed oder Log4shell, würden wir denen eher nicht melden", betont Karl. Entsprechend wird schon lange gefordert, dass das BSI eine unabhängige Behörde wird.

Keine Geheimhaltungsverträge eingehen

Hat man direkt mit dem Unternehmen oder einem Bug-Bounty-Programm Kontakt, müsse man aufpassen, dass man nicht auf Forderungen eingeht, die möglicherweise an einen selbst gestellt werden. Insbesondere bei Bug-Bounty-Programmen würden häufig Geheimhaltungsvereinbarungen (NDA, Non-disclosure Agreement) gefordert, sagt Wittmann. "Damit geht ihr gerne mal einen Knebelvertrag ein, der euch daran hindern soll, über die Sicherheitslücke zu sprechen oder noch einmal das System zu untersuchen", ergänzt Neumann.

Auch Zerforschung sei so etwas bereits passiert - und man ärgere sich bis heute darüber. "Damals hatten wir noch keine Erfahrung und haben eine Sicherheitslücke über das offizielle Bug-Bounty-Programm des Herstellers gemeldet. Was wir nicht richtig bedacht hatten: Dieses Programm enthielt eine Verschwiegenheitsklausel, sodass wir nichts darüber erzählen oder schreiben dürfen, das nicht vorher vom Hersteller freigegeben wurde", sagt Wittmann. Das gilt bis heute. Damit werde auch die Gesellschaft daran gehindert, über Sicherheitslücken zu diskutieren.

Wer Hilfe beim Melden brauche oder Fragen habe, könne sich gerne an den CCC (disclosure@ccc.de) oder Zerforschung (hallo@zerforschung.org) wenden.

Gefährlicher Hackerparagraf

"Wenn ihr eine Lücke gefunden habt und sie meldet, dann sagt ihr damit implizit auch, dass ihr die auch ausgenutzt habt. Das geht kaum anders, aber in Deutschland könnte das eine Straftat sein", sagt Karl. Denn der Hackerparagraf verbietet es, sich Zugriff auf besonders geschützte Daten zu verschaffen. Damit können auch Sicherheitsforscher angezeigt werden, die gute Absichten verfolgen.

Das bekam Wittmann im Sommer direkt zu spüren, nachdem sie eine Sicherheitslücke in einer App der CDU entdeckt und gemeldet hatte. Anschließend wurde sie von der CDU angezeigt - und damit ist sie nicht alleine. Immerhin hatte die Staatsanwaltschaft entschieden, dass die Daten derart schlecht geschützt waren, dass es nicht strafbar war, darauf zuzugreifen.

"Überlegt euch also gut, ob ihr eure Identität herausgeben möchtet. Melden geht ja auch ohne euren richtigen Namen", meint Karl. Allerdings ist man im Internet in der Regel nicht anonym unterwegs. Entsprechende Tools nach dem Entdecken einer Sicherheitslücke anzuwerfen, bringt auch nicht viel, denn irgendwo wurde die IP-Adresse dann schon mitgeloggt. Am besten, man achtet von vornherein darauf.

Doch nicht nur Sicherheitsforscher und Hacker tragen einiges an Verantwortung beim Melden, auch die betroffenen Unternehmen müssen einen guten Umgang mit den Sicherheitslücken und den Menschen, die sie melden, finden. Das ist nach wie vor oft nicht der Fall, wie nicht zuletzt die Anzeigen aus diesem Jahr zeigen. Deshalb geben die Sicherheitsforscher auch den Unternehmen entsprechende Tipps.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Responsible Disclosure: Deine Software, die Sicherheitslücken und ichSicherheitslücken bei Unternehmen: Don't shoot the Messenger 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Aktuell auf der Startseite von Golem.de
Grüner Wasserstoff
Neues Verfahren erzeugt Wasserstoff aus Salzwasser

Wo es Sonne gibt, um Wasserstoff zu erzeugen, fehlt es oft an Süßwasser. Ein neu entwickelter Elektrolyseur kann das im Überfluss vorhandene Meerwasser verarbeiten.

Grüner Wasserstoff: Neues Verfahren erzeugt Wasserstoff aus Salzwasser
Artikel
  1. Arbeitsschutz: Gamification in Amazon-Lagerhäusern ist gefährlich
    Arbeitsschutz
    Gamification in Amazon-Lagerhäusern ist gefährlich

    Amazon soll das Gamification-System seiner Lagerhäuser überarbeiten, da es ein Risiko für Verletzungen der Mitarbeiter darstellt.

  2. AWS-Geschäft schwächelt: Bei Amazon gehen der Umsatz hoch und der Gewinn runter
    AWS-Geschäft schwächelt
    Bei Amazon gehen der Umsatz hoch und der Gewinn runter

    Amazons Entlassungswelle führt erstmal zu hohen Kosten: 640 Millionen US-Dollar sind für Abfindungen gezahlt worden.

  3. Software: Wie Entwickler Fehler aufspüren - oder gleich vermeiden
    Software
    Wie Entwickler Fehler aufspüren - oder gleich vermeiden

    Es gibt zahlreiche Arten von Softwarefehlern. Wir erklären, welche Testverfahren sie am zuverlässigsten finden und welche Methoden es gibt, um ihnen vorzubeugen.
    Von Michael Bröde

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • DAMN-Deals bei Mindfactory: Grakas, CPUs & Co. • HTC Vice 2 Pro Full Kit 899€ • Corsair HS80 7.1-Headset -42% • Samsung G5 Curved 27" WQHD 267,89€ • Samsung Galaxy S23 jetzt vorbestellbar • PCGH Cyber Week • Dead Space PS5 -16% • PNY RTX 4080 1.269€ [Werbung]
    •  /