Archiv

Fallbeispiel: HackerZero

Constanze Kurz, Rainer Rehak

Elvira und Nico haben Informatik studiert und schreiben gerade ihre Dissertationen im Bereich IT-Sicherheit. Daneben lehren sie an verschiedenen Universitäten. Sie haben ein Projekt namens ,,HackerZero“ angeregt und konnten dafür Fördergelder gewinnen. Das Projekt bietet eine universitäre Plattform als Portal für Sicherheitsforschung an. Zehn verschiedeneUniversitäten sind an dem Projekt beteiligt. Elvira und Nico freuen sich über die Zusage, dass die Förderung für weitere zwei Jahre verlängert wurde.

Wer Sicherheitslücken in Software entdeckt hat, kann diese über die innovative Plattform ,,HackerZero“ an die betroffenen Hersteller oder Anbieter melden und muss gleichzeitig das Vorgehen und Wissen offenlegen. Da die Kommunikation über Elvira und Nico als Betreiber der Plattform läuft, braucht man sich nicht über unangenehme juristische Folgen zu sorgen, da sie die Meldungen entgegennehmen und weiterleiten. Elvira und Nico übernehmen also die Kommunikation mit den betroffenen Softwareanbietern. Als Informatikfachleute prüfen die beiden aber auch die technische Seite der gemeldeten Schwachstellen.

Um zu verhindern, dass die Sicherheitslücken ausgenutzt werden, haben die kommerziellen Partner und auch die Open-Source-Projekte nach Meldung eine gewisse Zeit zur Verfügung, in der sie das Wissen um eine Sicherheitslücke exklusiv erhalten. Aber nach spätestens drei Monaten wird das Wissen für alle Plattformmitglieder offengelegt und dann veröffentlicht. Den Firmen wird also eine Frist gesetzt, Patches für die gefundenen Probleme in ihrer Software bereitzustellen. Wenn die Firmen die Sicherheitslücken als „behoben“ markieren, so werden diese auch vor Fristablauf schon offengelegt.

Die Firmen können entscheiden, ob sie zusätzlich auch Informationen zur Lösung bekanntgebenwollen. Damit können alle Personen, die sich mit Sicherheitsfragen beschäftigen, aus diesen Fehlern – und den Lösungen – lernen.

Die Plattform ,,HackerZero“ wird vom Konsortium der zehn beteiligten Universitäten betrieben. Sie steht auch kommerziellen Partnern als Plattform zur Verfügung, um ihre Produkte samt Quellcode für die Sicherheitsprüfung zu hinterlegen. Open-Source-Projekte können sich ebenfalls als Partner anmelden.

,,HackerZero“ bietet IT-Sicherheitsforschern für die Meldung von Softwareschwachstellen eine Aufwandsentschädigung in Form eines Preisgeldes an. Es sind keine großen Summen, die mit dem kommerziellen Markt mithalten könnten, aber damit soll ein zusätzlicher Anreiz für das Nutzen der Plattform zur Offenlegung von Problemen gesetzt werden.

In ,,HackerZero“ werden diese Preisgelder von den kommerziellen Partnern finanziert. Die Gelder kommen in einen gemeinsamen Topf, sodass für alleMeldungen von Sicherheitslücken Gelder zur Verfügung stehen und auch Open-Source-Projekte von der Plattform profitieren können. Sowohl Elvira als auch Nico sind davon überzeugt, dass die Offenlegung von Schwachstellen stets von sehr großem Nutzen für alle an IT-Sicherheitsforschung Interessierten sowie für die Softwarehersteller selbst ist.

Während einer Projektsitzung kommt es wegen einer Neuanmeldung zu heftigen Diskussionen: Der neue kommerzielle Partner hat sich bei ,,HackerZero“ angemeldet, sein Produkt nutzt jedoch selbst Schwachstellen in anderen Softwareprodukten aus. Einige der universitären Partner haben nun mit demAusstieg aus dem Projekt gedroht.

Elvira hatte Nico nach der Anmeldung sofort geschrieben, dass sie den neuen Partner nicht akzeptabel findet. Klar sei doch, dass der Neuzugang ein Käufer von Sicherheitslücken sei oder aber mindestens ein Interesse haben müsse, Schwachstellen in der Software möglichst lange offenzuhalten, um das eigene Produkt besser verkaufen zu können. Das widerspräche klar der Intention der ganzen ,,HackerZero“-Plattform. Elvira meint, dass nicht mal klar sei, ob das Produkt der potenziellen neuen Partnerfirma legal sei.

Nico hält dagegen, dass es immer gut sei, Schwachstellen aufzudecken, auch in solchen Softwareprodukten, die ihrerseits Sicherheitslücken ausnutzen. Die Firma hätte ihren Sitz in Deutschland, was ein illegales Produkt wahrscheinlich ausschließe. Außerdem sei es gerade bei solcher Software besonders wichtig, dass sie sicher und handwerklich gut programmiert sei. Schließlich sei ihnen doch beiden klar, dass die Kunden der Firma wohl vornehmlich Strafverfolgungsbehörden sein würden.

Fragen

  1. Ist es sinnvoll und ethisch vertretbar, über eine universitäre Plattform Gelder für Schwachstellenmeldungen anzubieten, wenn eine Offenlegung zu einem späteren Zeitpunkt stattfindet?
  2. Müssen sich Elvira und Nico damit auseinandersetzen, welche Firmen und welche Software bei ,,HackerZero“ angemeldet sind? Wäre es notwendig gewesen, dies festzulegen, als das Projekt definiert wurde?
  3. Widerspricht die Aufnahme eines Partners, dessen Geschäft die Ausnutzung von Schwachstellen ist, grundsätzlich dem Projektziel? Warum? Gäbe es Gründe, die die Aufnahme rechtfertigen? Wenn ja, welche wären das?
  4. Wäre es vertretbar oder sogar notwendig, spezifische Regeln für den Umgang mit Vorabinformationen über Sicherheitslücken einzuführen?
  5. Würde sich etwas ändern, wenn eine staatliche Stelle als Partner teilnehmen wollte?
  6. Änderte sich dadurch etwas, wenn sich keine der beteiligten Universitäten über die neue Partnerfirma verärgert gezeigt hätte? Müssten Elvira und Nico dennoch die Art der zu untersuchenden Software diskutieren?
  7. Wen könnten Elvira und Nico hinzuziehen, wenn sich die beiden über die Anmeldung der neuen Partnerfirma nicht einig werden können? Sollten sie das Dilemma gar öffentlich diskutieren?

Erschienen im Informatik Spektrum, 42(2), 2019, S. 144-145, https://doi.org/10.1007/s00287-019-01163-4

1 comment to Fallbeispiel: HackerZero

  • Moritz Bauer

    1. Es ist durchaus sinvoll Geld anzubieten, damit die Entdecker der Schwachstelle mindestens ein klein wenig für ihren Aufwand entschädigt werden.
    2. Es wäre durchaus sinnvoll gewesen, gewisse Rahmenbedingungen festzulegen. Zum Beispiel das Herkunftsland oder Industrie (Rüstungsindustrie). Falls aber solche Kriterien festegelgt worden wären, hätte dies am Anfang passieren müssen.
    3. Die Firma welche ein Geschäft mit der Ausnützung von Schwachstellen macht, gewinnt eigentlich keinen grossen Mehrwert durch die Teilnahme an diesem Projekt. Allfällige Schwachstellen werden ja direkt der betroffenen Firma mitgeteilt. 3 Monate sollte genug Zeit sein, die Schwachstellen zu beheben. Firmen die nicht an diesem Programm teilnehmen wären schlussendlich dann diejenigen die den grössten Schaden tragen. In der heutigen Zeit werden aber Schwachstellen sobald sie bekannt sind nicht geheim gehalten sondern meistens im Netz verbreitet.
    4. Man könnte einführen das man keine Produkt entwickeln darf, die diese Schwachstelle ausnützen.
    5. Da der Staat die Universitäten finanziert hat er das Recht daran teilzunehmen.
    6. Es sollte nicht erst bei einem Skandal über die Bücher gegangen werden, sonder fortlaufend.
    7. Sie könnten die ursprünglichen Firmen befragen und versuchen einen Konsens zu finden.

Leave a Reply

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>