"White Hat Hacking ist nicht lukrativ genug"

Die OpenSSL-Lücke Heartbleed bestand zwei Jahre, bis sie von der Öffentlichkeit entdeckt wurde. Der Shellshock-Bug, der Apple-, Linux- und Unix-Nutzer gefährdete, blieb überhaupt mehr als 20 Jahre unentdeckt. Dies sind nur zwei Beispiele, die Linus Neumann, ein Sprecher des Chaos Computer Clubs, bei der Pressekonferenz der Sicherheitskonferenz DeepSec in Wien für den katastrophalen Zustand der IT-Security anführte.

Problemfelder dabei sieht Neumann gleich an mehreren Orten und über verschiedene Ebenen verteilt. Ein wesentlicher Punkt ist, dass es für White Hat Hacker einfach nicht lukrativ genug sei, gefundene Sicherheitslücken offen zu legen.

Anreize für White Hats schaffen

"Bei den Bug-Bounties werden meist nur ein paar tausend Euro ausgeschrieben. Wer eine Schwachstelle entdeckt, kann sie allerdings am Schwarzmarkt um ein Vielfaches verkaufen", bemängelt Neumann. "Um Anreize zu schaffen, müssten die Prämien für das Aufspüren von Sicherheitslücken massiv erhöht werden, ganz besonders bei Open-Source-Software." Dabei sieht Neumann auch die Politik sowie branchen- und unternehmensübergreifende Initiativen gefordert.

Einen unüberbrückbaren Interessenskonflikt sieht Neumann in der Tatsache, dass IT-Sicherheitsthemen allesamt im Innenministerium angesiedelt sind. "Einerseits sind die Behörden mit Bewusstseinsarbeit, Aufklärung und Verbrechensaufdeckung beschäftigt und andererseits kauft dasselbe Ressort Zero Day Exploits um Schwachstellen, etwa für Spionage oder Überwachungstätigkeiten ausnutzen zu können", kritisiert Neumann. "Mit einer solchen Vorgehensweise kann man nicht für nachhaltige IT-Sicherheit sorgen."

BND will Zero Day Exploits kaufen

Für diesen Kauf von Zero Day Exploits hat der deutsche Bundesnachrichtendienst nach Informationen des Spiegel für die kommenden fünf Jahre 4,5 Millionen Euro budgetiert. Bis 2014 hatte die deutsche Bundesregierung einen Vertrag mit dem französischen Sicherheitsunternehmen Vupen, das auf den Handel mit Zero-Day-Schwachstellen spezialisiert ist.

Neumann kritisiert, dass Vupen-Mitarbeiter etwa bei Bug-Bounty-Events auftreten, Sicherheitslücken zeigen, aber die Schwachstellen weder dokumentieren noch erklären. "Nachdem sie ihren Hack gezeigt haben, packen sie zusammen und gehen, ohne sich ein Preisgeld abzuholen", sagt Neumann. Ein solches Verhalten signalisiere, dass woanders weit mehr Geld mit dem Aufdecken von Sicherheitslücken zu machen ist, wodurch auch der Handel mit Sicherheitslücken extrem angeheizt wird.

Daher forderte der CCC auch Anfang November, dass der Kauf von Zero Day Exploits durch deutsche Behörden verboten wird: "Sicherheitslücken gehören nach der Entdeckung geschlossen und nicht verkauft und geheim gehalten, solange es irgendwie geht."

Die Frage nach der Haftung

Abschließend stellte Neumann eine Frage in den Raum, die allerdings noch durchdiskutiert gehöre: "Warum haften Softwarehersteller eigentlich nicht für die Sicherheit ihres Produkts?" In keiner anderen Branche sei es möglich, ein Produkt zu verkaufen und dafür keine Haftung zu übernehmen. Wenn bei Fahrzeugen etwa Probleme mit den Bremsen auftreten, kann es sein, dass die komplette Serie zurückgerufen wird. Bei Software gebe es so etwas nicht. "Sollte nicht ein kommerzieller Anbieter für Sicherheitslücken haften", mutmaßt Neumann.