Responsible Disclosure: Deine Software, die Sicherheitslücken und ich
Immer wieder finden Hacker und Sicherheitsforscher Datenlecks und Sicherheitslücken bei Softwareherstellern - doch was dann? In den vergangenen Jahren gab es einige unschöne Situationen im Nachgang von entdeckten oder gemeldeten Sicherheitslücken. Lilith Wittmann und Karl vom Kollektiv Zerforschung sowie Linus Neumann, Sprecher des Chaos Computer Clubs (CCC) erklärten auf dem Hackerkongress rC3(öffnet im neuen Fenster) , was beim Melden von Sicherheitslücken schiefgehen kann und wie man es richtig macht.
Nach mindestens zwei Anzeigen wegen gemeldeter Sicherheitslücken in diesem Jahr kritisieren die Sicherheitsforscher auch die rechtlichen Rahmenbedingungen und geben Unternehmen Tipps, wie sie richtig mit Sicherheitsforschern und gemeldeten Sicherheitslücken umgehen. Denn ein Outcome à la "Aufmachen, Polizei" hilft niemandem weiter.
Nach dem Entdecken von Sicherheitslücken sei es wichtig, verantwortungsvoll mit diesen umzugehen, meint Karl. Denn wer eine Sicherheitslücke einfach umgehend und vollständig veröffentliche (Full Disclosure), könne sich selbst in Schwierigkeiten bringen, vor allem aber auch die Menschen, deren Daten dadurch öffentlich werden.
Nicht umsonst heißt es in der Hackerethik: Öffentliche Daten nützen, private Daten schützen. Deshalb solle zuerst der Hersteller über die Lücke informiert werden und Informationen zu der Lücke erst nach deren Beseitigung veröffentlicht werden - das sogenannte Responsible-Disclosure-Verfahren. So weit, so einfach - komplizierter wird es beim konkreten Vorgehen.
Das Adrenalin abklingen lassen
Wenn man eine Sicherheitslücke entdeckt hat, sollte man erst einmal Ruhe bewahren, rät Wittmann. Das sei jedoch gar nicht so einfach - immerhin "hat man höchstwahrscheinlich gerade Daten anderer Leute gesehen, die man nicht sehen sollte. Da geht der Puls schonmal hoch." Deshalb erst noch einmal nachschauen, ob man wirklich Daten, die man nicht sehen sollte, gesehen hat.
Dann gehe es an die Einschätzung der Sicherheitslücke: Welche Daten können gelesen werden? Können auch Daten geschrieben oder gelöscht werden? Wichtig sei es, mit Testkonten oder mit Konten von Freunden und deren Erlaubnis zu testen, denn die Hackerethik gebiete es auch, nicht in den Daten anderer Leute rumzumüllen, betont Wittmann.
Sind viele Menschen betroffen, sei man schon bei der Alarmstufe dunkelrot, meint Karl. Aber auch wenn nur wenige Menschen, dafür aber besonders sensible Daten betroffen sind, sei man schnell bei Alarmstufe dunkel-dunkel-dunkelrot.
Ein Sicherheitslücken-Report ist keine Bachelorarbeit
Dann müsse die Lücke möglichst schnell dokumentiert werden - und das für mehrere Zielgruppen gleichzeitig: "So ein Dokument geht nämlich üblicherweise durch mehrere Hände: Zuerst kommt es zu Menschen, die nur die ersten Sätze lesen, die aber dafür verantwortlich sind, dass das Dokument bei denjenigen ankommt, die auch den Rest eures Geschreibsels verstehen können. Deswegen sollten die ersten Sätze für alle Menschen verständlich sein und die wichtigsten Fakten müssen rein," erklärt Wittmann. Es sei keine Bachelorarbeit und kein Roman.
Wenn das Dokument auch an offizielle Stellen wie Datenschutzbehörden geht, ist es empfehlenswert, auch den Dienst oder das Produkt zu beschreiben, um das es geht. Ein guter Anfang sei beispielsweise: "In der Mitglieds-App der Chaos Cat Community können durch eine Sicherheitslücke die Daten aller Mitglieder abgerufen werden. Dazu gehören: Name, Adresse, Bezahlstatus und Impfstatus." Den Rest des Dokuments schreibe man für eine technisch halbwegs fitte Zielgruppe, die beispielsweise wisse, was eine API ist.
Dort beschreibt man die Sicherheitslücke als erstes genau, aber kurz. Anschließend nennt man, ebenfalls kurz, die Auswirkungen. "Das ist zum einen wichtig, damit die Gegenseite schnell verstehen kann, wie schlimm die Lücke ist. Zum anderen hilft es den Aufsichtsbehörden einzuschätzen, ob sie gegen das Unternehmen vorgehen müssen," sagt Karl. Als drittes geht es darum, wie man die Lücke nachvollziehen kann, also beispielsweise die notwendigen Schritte, um eine Sicherheitslücke auszunutzen. Das kann auch ein kurzes Skript sein.
In einem vierten Punkt kann man Tipps geben, wie die Lücke geschlossen werden kann. "Aber das muss auch nicht sein. Das ist schließlich Aufgabe der Unternehmen und nicht eure," meint Wittmann. Auf keinen Fall sollten Wissen zurückgehalten oder Forderungen gestellt werden, denn das kann einem später negativ ausgelegt werden. Insbesondere sollte weder Geld verlangt oder das Angebot unterbreitet werden, beim Schließen der Sicherheitslücke zu helfen. Auch wenn man zu lange mit dem Melden warte, könne einem das negativ ausgelegt werden.
Melden, ohne eine Anzeige zu riskieren
Die in den meisten Fällen einfachste Möglichkeit zum Melden einer Sicherheitslücke ist das Schwachstellenformular des Bundesamtes für Sicherheit in der Informationstechnik (BSI)(öffnet im neuen Fenster) beziehungsweise des dort angesiedelten CERT-Bund. Das funktioniert auch anonym. Das BSI kontaktiert dann die Unternehmen. Diese schließen die Sicherheitslücken dann meist recht schnell - der Bundesadler auf dem Briefkopf mache eben Eindruck, meint Karl.
Zudem hat das BSI auch mehr rechtliche Möglichkeiten und kann beispielsweise eine Produktwarnung aussprechen. Aber, "das BSI ist eine Sicherheitsbehörde, wie Polizei und Geheimdienste, und dem Innenministerium nachgeordnet. Das CERT-Bund arbeitet zwar anders als Polizei und Geheimdienste, und aus unserer Perspektive ziemlich unabhängig. Aber überlegt euch immer, was ihr denen erzählt und meldet - eine Lücke, die sich zum Beispiel für einen Staatstrojaner eignet, wie das nächste Heartbleed oder Log4shell , würden wir denen eher nicht melden," betont Karl. Entsprechend wird schon lange gefordert , dass das BSI eine unabhängige Behörde wird .
Keine Geheimhaltungsverträge eingehen
Hat man direkt mit dem Unternehmen oder einem Bug-Bounty-Programm Kontakt, müsse man aufpassen, dass man nicht auf Forderungen eingeht, die möglicherweise an einen selbst gestellt werden. Insbesondere bei Bug-Bounty-Programmen würden häufig Geheimhaltungsvereinbarungen (NDA, Non-disclosure Agreement) gefordert , sagt Wittmann. "Damit geht ihr gerne mal einen Knebelvertrag ein, der euch daran hindern soll, über die Sicherheitslücke zu sprechen oder noch einmal das System zu untersuchen," ergänzt Neumann.
Auch Zerforschung sei so etwas bereits passiert - und man ärgere sich bis heute darüber. "Damals hatten wir noch keine Erfahrung und haben eine Sicherheitslücke über das offizielle Bug-Bounty-Programm des Herstellers gemeldet. Was wir nicht richtig bedacht hatten: Dieses Programm enthielt eine Verschwiegenheitsklausel, sodass wir nichts darüber erzählen oder schreiben dürfen, das nicht vorher vom Hersteller freigegeben wurde," sagt Wittmann. Das gilt bis heute. Damit werde auch die Gesellschaft daran gehindert, über Sicherheitslücken zu diskutieren.
Wer Hilfe beim Melden brauche oder Fragen habe, könne sich gerne an den CCC (disclosure@ccc.de) oder Zerforschung (hallo@zerforschung.org) wenden.
Gefährlicher Hackerparagraf
"Wenn ihr eine Lücke gefunden habt und sie meldet, dann sagt ihr damit implizit auch, dass ihr die auch ausgenutzt habt. Das geht kaum anders, aber in Deutschland könnte das eine Straftat sein," sagt Karl. Denn der Hackerparagraf verbietet es, sich Zugriff auf besonders geschützte Daten zu verschaffen. Damit können auch Sicherheitsforscher angezeigt werden, die gute Absichten verfolgen.
Das bekam Wittmann im Sommer direkt zu spüren, nachdem sie eine Sicherheitslücke in einer App der CDU entdeckt und gemeldet hatte. Anschließend wurde sie von der CDU angezeigt - und damit ist sie nicht alleine . Immerhin hatte die Staatsanwaltschaft entschieden, dass die Daten derart schlecht geschützt waren, dass es nicht strafbar war, darauf zuzugreifen.
"Überlegt euch also gut, ob ihr eure Identität herausgeben möchtet. Melden geht ja auch ohne euren richtigen Namen," meint Karl. Allerdings ist man im Internet in der Regel nicht anonym unterwegs. Entsprechende Tools nach dem Entdecken einer Sicherheitslücke anzuwerfen, bringt auch nicht viel, denn irgendwo wurde die IP-Adresse dann schon mitgeloggt. Am besten, man achtet von vornherein darauf .
Doch nicht nur Sicherheitsforscher und Hacker tragen einiges an Verantwortung beim Melden, auch die betroffenen Unternehmen müssen einen guten Umgang mit den Sicherheitslücken und den Menschen, die sie melden, finden. Das ist nach wie vor oft nicht der Fall, wie nicht zuletzt die Anzeigen aus diesem Jahr zeigen. Deshalb geben die Sicherheitsforscher auch den Unternehmen entsprechende Tipps.
Sicherheitslücken bei Unternehmen: Don't shoot the Messenger
Eigentlich ist die zentrale Aufgabe relativ einfach erklärt: "Seid freundlich und offen gegenüber den Meldenden, schließt die Lücken und kommt gar nicht erst auf die Idee, uns zu verklagen," sagt Wittmann. Doch auch im Vorfeld einer Meldung könnten Unternehmen schon viel machen. Dazu gehöre eine Kontaktadresse zum Melden von Sicherheitslücken. Denn oft ist es für die Sicherheitsforscher gar nicht so einfach, einen Kontakt zu finden.
Diese E-Mail-Adresse sollte zudem regelmäßig kontinuierlich betreut werden und nicht im Urlaubsfall ausfallen. Auch ein regelmäßiger Blick in den Spam-Ordner sei wichtig - denn Hacker haben manchmal eigene Mailserver. Das klinge zwar alles trivial, meint Karl. Aber sie würden es sehr häufig erleben, dass man sich erst einmal Kontaktadressen zusammensuchen müsse.
Habe das Unternehmen die E-Mail erhalten und die Lücke nachvollzogen, solle es sich umgehend bei den Sicherheitsforschern melden und diese bestätigen. Sollte die Lücke nicht nachvollzogen werden können, müsse nachgefragt werden, meint Karl. Auch anschließend sollte alles regelmäßig sowie der aktuelle Stand klar kommuniziert werden.
"Ihr wollt ja, dass die Sicherheitsforscher*innen ehrlich und vollständig transparent mit euch sind - also seid es auch. Packt alle Karten auf den Tisch und haltet nichts zurück," betont Karl. Das ist auch deshalb wichtig, weil die Sicherheitsforscher oft selbst etwas über die Lücke schreiben wollen.
Sicherheitsforscher helfen euch, also behandelt sie gut
Und es solle niemals vergessen werden: "Da helfen euch Leute in ihrer Freizeit, eure Software sicherer zu machen," sagt Karl "Ja, es ist für euch keine schöne Situation, wenn da ein großes Sicherheitsproblem in eurer Software ist." Aber daran seien nicht die Sicherheitsforscher schuld, die hätten die Lücke nur gefunden und nicht eingebaut.
"Also überlegt mal, wie beschissen sich das für eure Gegenseite anfühlt. Da hat sich jemand in ihrer Freizeit hingesetzt, eure Software angeschaut und ein Problem gefunden. Dann hat die Person euch sogar Bescheid gesagt - und von euch kommt nur Gepöbel, Drohungen oder gar eine Strafanzeige." Damit würden ehrliche Sicherheitsforscher verschreckt. "Denn die Lücken sind ja nicht weg, nur weil niemand sie euch meldet. Stattdessen werden die Lücken dann gar nicht gemeldet, als Full Disclosure direkt dem ganzen Internet bekannt gemacht oder an Kriminelle verkauft."
"Es kann sein, dass Medien über den Sicherheitsvorfall bei euch berichten wollen," meint Wittmann. Diese sollten nicht angelogen oder die Sicherheitsforscher diskreditiert werden. Das gehe letztlich immer nach hinten los. Es gehöre auch zum guten Ton, eine Sicherheitslücke nicht einfach als Pressemitteilung unabgesprochen zu veröffentlichen.
Auch sollte sich bei den Sicherheitsforschern nicht ohne Absprache öffentlich bedankt oder sie anderweitig namentlich genannt werden - denn nicht alle möchten das. Beispielsweise könne das Stress auf der Arbeit bedeuten oder politischen Überzeugungen widersprechen, meint Karl. Neumann möchte die Unternehmen zudem ermutigen, auch die Nutzer über den Vorfall zu informieren - selbst wenn nahezu ausgeschlossen werden könne, dass wirklich Daten abgeflossen sind. Das seien aber alles nur die absoluten Basics, betonen die Sicherheitsforscher.