Expertenmeinung: Bug Bounties

Speziell beim Umgang mit Disclosures, also der Offenlegung von Schwachstellen, gibt es große Unterschiede.

Hacker beschäftigen sich mit Sicherheitsmechanismen und deren Sicherheitslücken. Der Begriff beinhaltet Personen, die Sicherheitslücken suchen, um sie aufzuzeigen oder zu korrigieren. Es sind aber auch Personen gemeint, die solche Lücken ausnutzen und unerlaubt in fremde Systeme eindringen. Diesen Handlungen liegen unterschiedliche Motivationen, wie zum Beispiel Geld, Rache oder Spaß zugrunde. Je nach Ethik und Loyalität gegenüber dem Gesetz, wird zwischen White-Hats, Grey-Hats und Black-Hats unterschieden.

Penetration Tester bewegen sich derzeit oftmals in undefinierter Gesetzeslage, weshalb wir dann von Grey-Hat Hacking sprechen. Konkret bedeutet dies, dass ein Hack durchaus „unethisch“ sein kann, es aber keine gesetzliche Regelung dazu gibt und man sich eigentlich gesetzlich konform bewegt. In der Szene wird daher das Synonym des Wilden Westens verwendet.

Nach Bekanntwerden einer Sicherheitslücke hat der Entdecker verschiedene Möglichkeiten damit umzugehen: Die Offenlegung (Disclosure) kann auf verschiedenste Art und Weise geschehen. So wählen ethische Hacker vor allem in Coordinated-Disclosures, bei dem das Ziel eine verantwortliche Offenlegung der Sicherheitslücke ist.

Der Entdecker informiert den Hersteller über seinen Fund und gibt zunächst keine oder nur wenige Informationen an die Öffentlichkeit. Meistens wird nur auf die Existenz und gegebenenfalls auf die Art einer Sicherheitslücke in einem Produkt hingewiesen. Ethische Hacker nutzen immer diese Art der Veröffentlichung.

Neben dem Coordinated-Disclosures gibt es noch die Möglichkeit eines Non-Disclosures, bei dem die Schwachstelle nicht veröffentlicht wird. Diese Offenlegungen finden zum Beispiel bei Geheimdiensten Anwendung. Ein Beispiel dieses Disclosures ist die Sicherheitslücke „Eternalblue“, die lange Zeit von der NSA genutzt wurde, ohne der Öffentlichkeit bekannt zu sein. Später wurde sie in Form eines Full-Disclosures von einer Hackergruppe, welche die NSA zuvor hackte, mit allen Details und Proof of Concept veröffentlicht und unter dem Namen WannaCry bekannt.

Egal auf welche Art der öffentlichen Bekanntgabe der Entdecker der Schwachstelle setzt, ein unerlässlicher Schritt ist die Beantragung einer CVE-Nummer. Schwachstellen werden mit einem CVSS derzeit in Version 3 berechnet. Je nach Höhe des Scores wird die Schwachstelle in High (10,0 bis 7,5), Middle (7,4 – 5,0) und Low (4,9-1) eingestuft. Bewertet werden vor allem die Exploitability und der Impact. Stellt der betroffene Hersteller nach Ablauf einer Zeitspanne keinen Patch zur Verfügung, muss ethisch abgewogen werden, wie mit der Sicherheitslücke weiter umgegangen wird.

Wird vom Hersteller nach mehrmaligen Kontaktversuchen nicht reagiert, stellt der ethische Hacker alle Erkenntnisse der Öffentlichkeit zur Verfügung. Er warnt damit die Öffentlichkeit vor der Verwundbarkeit der Software oder des Produkts.

Bei der eventuellen Offenlegung (für die Öffentlichkeit) der Sicherheitslücke werden ethische Hacker versuchen, den Schaden gering zu halten. Daher versuchen sie mithilfe des Herstellers schnellstmöglich einen Patch oder eine Lösung zur Verfügung zu stellen. Ethische Hacker bewegen sich damit im stetigen Wechsel zwischen Grey-Hat und White-Hat Leitlinien.

Bei einem Bug-Bounty spricht man von einer von Unternehmen oder Interessenverbänden betriebenen Initiative zu Identifizierung, Behebung und Bekanntmachung von Fehlern in Software mit Sach- oder Geldpreisen für die Entdecker.

Insgesamt ist es natürlich ein erster Ansatz, die IT-Sicherheit im Unternehmen zu verbessern. Fraglich ist trotzdem die ethische Vereinbarkeit dieser Programme. Durch solche Programme versuchen nicht ausgebildete Personen, oft ohne einen expliziten Auftrag des Betreibers, die Systeme zu attackieren. Die Möglichkeit der Beschädigung der Daten, bzw. eines Ausfalls des Dienstes (Denial of Service) ist hierbei durchaus gegeben. Auch das Erbeuten von personenbezogenen Daten ist ein Risiko, da hier im Gegensatz zu einem beauftragten Hacking, dem „Penetration Testing“, deren Eigentümer meist nicht zugestimmt haben.

Dies kann zudem weitere Konsequenzen nach sich ziehen, da für das Unternehmen oder die Institution im SOC nicht erkennbar ist, ob es sich um einen „böswilligen“ Angriff oder eine „gutgemeinte“ Untersuchung handelt. Diese Unterscheidungsfrage sollte sich auch nicht stellen, da jeder Angriff im Grunde eine Straftat darstellen kann. Die Konsequenzen bei einem in IT-Sicherheit gut aufgestellten Unternehmen könnte demnach sogar eine Anzeige nach sich ziehen, da wie o. g. keine wirkliche Unterscheidung gemacht werden kann, weshalb Angriffe, die nicht durch Penetration Test kommuniziert und beauftragt waren, oft zur Anzeige gebracht werden.

Weitere Schwierigkeiten bereitet es vor allem, das Budget des Programms festzulegen. Werden mehrere Schwachstellen gefunden, so kann es das Budget sicherlich überschreiten. Hierüber besteht in aktuell gängigen Bug-Bounty Programmen oft keine Regelung.

Während vor allem große Unternehmen bzw. Konzerne Bug-Bounties aussetzen, ist es für einen mittelständischen Betrieb sicherlich nicht einfach finanzierbar, da die Kosten meist schwer kalkulierbar sind. Trotz alledem sind Bug-Bounty-Programme sicherlich ein guter Ansatz, um diejenigen zu unterstützen, die Schwachstellen ausfindig machen und diese mit öffentlicher Anerkennung für ihre Beiträge zu honorieren. Für Researcher ergibt sich hierdurch eine Alternative zum Schwarzmarkt. Zero-Day-Exploits werden so tendenziell weniger auf dem Schwarzmarkt gehandelt, da es die Möglichkeit einer materiellen Entlohnung durch den Hersteller gibt.

Beim Penetration Testing (dem beauftragten Hacking), das vom Berufsfeld der Penetration Tester ausgeübt wird, passiert es oftmals, dass Daten erbeutet werden, die ethisch verwerflich oder rechtlich unter Umständen strafbar sind oder Ordnungswidrigkeiten darstellen. Dadurch sollte jeder Penetration Tester im Zweifelsfall mit einem Juristen abwägen, ob etwas gemeldet werden sollte. Ebenfalls ist zu überlegen, wann Straftaten und Ordnungswidrigkeiten an den Auftraggeber gemeldet oder zur Anzeige gebracht werden. Bei sensiblen und privaten Themen muss sich jeder Penetration Tester überlegen, ob der emotionale Schaden einer betroffenen Person höher ist, als die Wichtigkeit des Findings.

„Bei einem Penetration Test wurde nur ein Finding gefunden: Die Log-in-Daten des E-Mail-Accounts eines Geschäftsführers. Für einen Penetration Tester liegt es nahe, im Postfach nach weiteren Log-in-Daten zu suchen. Hierbei findet der Pentester dann Informationen zu einem Rechtsstreit mit der Ex-Frau und Sorgerechtsthemen – also ein sensibles Thema. In der Präsentation erzählt der betroffene Geschäftsführer munter, “das sei ja überhaupt kein Problem, in seinem E-Mail-Postfach wäre ja nichts Sensibles, das läge in einem anderen Account.” Die Frage, die sich jeder Penetration Tester stellen sollte ist, wie und ob er dieses Thema anspricht.