Melden, ohne eine Anzeige zu riskieren

Die in den meisten Fällen einfachste Möglichkeit zum Melden einer Sicherheitslücke ist das Schwachstellenformular des Bundesamtes für Sicherheit in der Informationstechnik (BSI) beziehungsweise des dort angesiedelten CERT-Bund. Das funktioniert auch anonym. Das BSI kontaktiert dann die Unternehmen. Diese schließen die Sicherheitslücken dann meist recht schnell - der Bundesadler auf dem Briefkopf mache eben Eindruck, meint Karl.

Stellenmarkt
  1. Sales Support Agent (m/w/d) im Bereich Sales Operations
    Controlware GmbH, Dietzenbach bei Frankfurt am Main
  2. IT-Spezialist*in (m/w/div)- IT-Systeme/IT-Services
    Deutsche Rentenversicherung Bund, Würzburg
Detailsuche

Zudem hat das BSI auch mehr rechtliche Möglichkeiten und kann beispielsweise eine Produktwarnung aussprechen. Aber, "das BSI ist eine Sicherheitsbehörde, wie Polizei und Geheimdienste, und dem Innenministerium nachgeordnet. Das CERT-Bund arbeitet zwar anders als Polizei und Geheimdienste, und aus unserer Perspektive ziemlich unabhängig. Aber überlegt euch immer, was ihr denen erzählt und meldet - eine Lücke, die sich zum Beispiel für einen Staatstrojaner eignet, wie das nächste Heartbleed oder Log4shell, würden wir denen eher nicht melden", betont Karl. Entsprechend wird schon lange gefordert, dass das BSI eine unabhängige Behörde wird.

Keine Geheimhaltungsverträge eingehen

Hat man direkt mit dem Unternehmen oder einem Bug-Bounty-Programm Kontakt, müsse man aufpassen, dass man nicht auf Forderungen eingeht, die möglicherweise an einen selbst gestellt werden. Insbesondere bei Bug-Bounty-Programmen würden häufig Geheimhaltungsvereinbarungen (NDA, Non-disclosure Agreement) gefordert, sagt Wittmann. "Damit geht ihr gerne mal einen Knebelvertrag ein, der euch daran hindern soll, über die Sicherheitslücke zu sprechen oder noch einmal das System zu untersuchen", ergänzt Neumann.

Auch Zerforschung sei so etwas bereits passiert - und man ärgere sich bis heute darüber. "Damals hatten wir noch keine Erfahrung und haben eine Sicherheitslücke über das offizielle Bug-Bounty-Programm des Herstellers gemeldet. Was wir nicht richtig bedacht hatten: Dieses Programm enthielt eine Verschwiegenheitsklausel, sodass wir nichts darüber erzählen oder schreiben dürfen, das nicht vorher vom Hersteller freigegeben wurde", sagt Wittmann. Das gilt bis heute. Damit werde auch die Gesellschaft daran gehindert, über Sicherheitslücken zu diskutieren.

Golem Akademie
  1. Einführung in die Programmierung mit Rust: virtueller Fünf-Halbtage-Workshop
    9–13. Mai 2022, Virtuell
  2. Webentwicklung mit React and Typescript: virtueller Fünf-Halbtage-Workshop
Weitere IT-Trainings

Wer Hilfe beim Melden brauche oder Fragen habe, könne sich gerne an den CCC (disclosure@ccc.de) oder Zerforschung (hallo@zerforschung.org) wenden.

Gefährlicher Hackerparagraf

"Wenn ihr eine Lücke gefunden habt und sie meldet, dann sagt ihr damit implizit auch, dass ihr die auch ausgenutzt habt. Das geht kaum anders, aber in Deutschland könnte das eine Straftat sein", sagt Karl. Denn der Hackerparagraf verbietet es, sich Zugriff auf besonders geschützte Daten zu verschaffen. Damit können auch Sicherheitsforscher angezeigt werden, die gute Absichten verfolgen.

Das bekam Wittmann im Sommer direkt zu spüren, nachdem sie eine Sicherheitslücke in einer App der CDU entdeckt und gemeldet hatte. Anschließend wurde sie von der CDU angezeigt - und damit ist sie nicht alleine. Immerhin hatte die Staatsanwaltschaft entschieden, dass die Daten derart schlecht geschützt waren, dass es nicht strafbar war, darauf zuzugreifen.

"Überlegt euch also gut, ob ihr eure Identität herausgeben möchtet. Melden geht ja auch ohne euren richtigen Namen", meint Karl. Allerdings ist man im Internet in der Regel nicht anonym unterwegs. Entsprechende Tools nach dem Entdecken einer Sicherheitslücke anzuwerfen, bringt auch nicht viel, denn irgendwo wurde die IP-Adresse dann schon mitgeloggt. Am besten, man achtet von vornherein darauf.

Doch nicht nur Sicherheitsforscher und Hacker tragen einiges an Verantwortung beim Melden, auch die betroffenen Unternehmen müssen einen guten Umgang mit den Sicherheitslücken und den Menschen, die sie melden, finden. Das ist nach wie vor oft nicht der Fall, wie nicht zuletzt die Anzeigen aus diesem Jahr zeigen. Deshalb geben die Sicherheitsforscher auch den Unternehmen entsprechende Tipps.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Responsible Disclosure: Deine Software, die Sicherheitslücken und ichSicherheitslücken bei Unternehmen: Don't shoot the Messenger 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Aktuell auf der Startseite von Golem.de
Bundesservice Telekommunikation
Schlecht getarnte Tarnorganisation praktisch enttarnt

Inzwischen ist offensichtlich, dass der Bundesservice Telekommunikation zum Bundesamt für Verfassungsschutz gehört.
Von Friedhelm Greis

Bundesservice Telekommunikation: Schlecht getarnte Tarnorganisation praktisch enttarnt
Artikel
  1. Digitalisierung: 500-Euro-Laptops für Lehrer leistungsfähig und gut nutzbar
    Digitalisierung
    500-Euro-Laptops für Lehrer "leistungsfähig und gut nutzbar"

    Das Land NRW hat seine Lehrkräfte mit Dienst-Laptops ausgestattet. Doch diese äußern deutliche Kritik und verwenden wohl weiter private Geräte.

  2. Volkswagen Payments: VW entlässt Mitarbeiter wohl wegen Cybersicherheits-Bedenken
    Volkswagen Payments
    VW entlässt Mitarbeiter wohl wegen Cybersicherheits-Bedenken

    Volkswagen entlässt einem Bericht nach einen Mitarbeiter, nachdem dieser Bedenken hinsichtlich der Cybersicherheit von Volkswagen Payments äußerte.

  3. Frequenzen: Bundesnetzagentur erfüllt Forderungen der Mobilfunkkonzerne
    Frequenzen
    Bundesnetzagentur erfüllt Forderungen der Mobilfunkkonzerne

    Jochen Homann könnte vor seinem Ruhestand noch einmal Vodafone, Deutsche Telekom und Telefónica erfreuen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3080 Ti 12GB 1.699€ • Intel i9-10900K 444,88€ • Huawei Curved Gaming-Monitor 27" 299€ • Hisense-TVs zu Bestpreisen (u. a. 55" OLED 739€) • RX 6900 1.449€ • MindStar (u.a. Intel i7-10700KF 279€) • 4 Blu-rays für 22€ • LG OLED (2021) 77 Zoll 120Hz 2.799€ [Werbung]
    •  /