Archiv

Fallbeispiel: Gut gemeint

Christina B. Class & Gudrun Schiedermeier

Sicherheitslücken frühzeitig erkennen und schließen klingt zunächst nach verantwortungsvoller IT-Sicherheit. Doch was passiert, wenn dabei Kundendaten und Quellcode ungefragt in externe KI-Systeme gelangen? Dieses Fallbeispiel zeigt, wie gut gemeinte Sicherheitsmaßnahmen neue Risiken und ­Verantwortungsfragen schaffen können.

Susanne und Emmer arbeiten in dem kleinen Start-up PerfectIT, das sich auf IT-Sicherheit spezialisiert hat. Susanne galt schon während ihrer Studienzeit als respektable Häckse und hat damals bei einem Hochschulwettbewerb den ersten Platz gewonnen. Sie und Emmer kennen sich auch schon aus dieser Zeit. Emmer hatte sich damals aber geweigert, an dem seiner Meinung nach nicht ganz legalen Wettbewerb teilzunehmen. Aber auch er ist ein anerkannter Sicherheitsexperte und kennt sich bestens mit den Schwachstellen verschiedener Betriebssysteme und Browser aus.

Die Firma Bio.Erd.Shop hat in den letzten Jahren ihren Kundenstamm enorm ausgebaut. Ihr bewährtes Kunden-Informationssystem hält aber mit diesem Wachstum nicht mehr Schritt. Die Firmenleitung von Bio.Erd.Shop erteilt deshalb PerfectIT den Auftrag, das momentane System auf Aktualisierungsmöglichkeiten zu überprüfen. Lizzy, die Chefin von PerfectIT, ist eine gute Bekannte des Gründers von Bio.Erd.Shop. Sie möchte Bio.Erd.Shop unbedingt als Stammkunden gewinnen, da es sich um eine größere Firma handelt und damit Aufträge über Jahre für ihr kleines Unternehmen gesichert wären. Sie weist Emmer und Susanne daher an, zunächst in der Kunden-Software nach Sicherheitslücken zu suchen und diese zu analysieren. Lissy meint: „In so einer alten Software gibt es bestimmt einiges zu finden und das ist schließlich unser Kerngeschäft.“ Gleichzeitig sollen sie einen Patch zur Schließung dieser Lücken entwickeln. Selbstverständlich werden dem Kunden diese Schwachstellen in einem ausführlichen Bericht gemeldet und die Patches kostenlos zur Verfügung gestellt, um sich als qualifizierter und attraktiver Partner für Sicherheitsfragen zu präsentieren. Erst in einem zweiten Schritt sollen sie sich um die vom Kunden gewünschten Aktualisierungsmöglichkeiten kümmern, weil eine Erweiterung auf einer unsicheren Grundlage nicht sinnvoll wäre.

Susanne schlägt vor, ein KI-Tool zum Aufspüren von Sicherheitslücken zu verwenden. Ein neues KI-Modell zur Suche nach Schwachstellen hätte ja bei einer anderen Firma erstaunlich viele Sicherheitslücken gefunden, die sogar über Jahrzehnte unentdeckt waren. [1] Emmer ist dagegen skeptisch und weist Susanne darauf hin, dass ihr geplantes Vorgehen nicht den Wünschen des Kunden entspricht. Er hat ja keinen Auftrag erteilt, Schwachstellen in der Software zu finden. Zudem sieht er die Gefahr, dass Sicherheitslücken ausgenutzt werden könnten, sofern sie öffentlich bekannt werden und solange noch keine geeigneten Patches entwickelt und eingespielt wurden. Damit könnten sie die Firma Bio.Erd.Shop erheblich schädigen. Susanne weist die Vorwürfe zurück: „Du bist doch immer noch der gleiche Zauderer wie früher. Wer nicht wagt, der nicht gewinnt. Warum sollten wir kein KI-Tool nutzen? Bisher haben wir doch auch alle möglichen Tools wie Port-Scanner oder NetOrka benutzt und du hattest damit kein Problem. Außerdem sind wir doch fein raus. Uns kann niemand was anhaben. Wir führen doch nur den Auftrag ‚Ihrer Majestät‘ aus.“ Diesen Titel hat Susanne Lizzy gegeben, weil sie immer alles kontrollieren will und so erhaben tut.

Trotz seiner zögerlichen Haltung unterstützt Emmer Susanne bei der gestellten Aufgabe. Nachdem sie mit dem lokal betriebenen KI-Tool keine nennenswerten Sicherheitsprobleme finden konnten, verwenden sie ein neu erschienenes, hochgelobtes Tool eines großen Tech-Konzerns. Mit geschickten, immer weiter verfeinerten Prompts, die Source Code enthalten, werden sie fündig. Sie informieren Lizzy darüber, auch darüber, dass sie noch keine Patches entwickelt haben. Dennoch informieren sie Bio.Erd.Shop in einem vorläufigen Bericht über die gefundenen Sicherheitslücken und kündigen Patches innerhalb der nächsten Wochen an. In dem Bericht sind auch Statistiken des KI-Tools aufgeführt, die das Risiko der Sicherheitslücken mit bekannten Sicherheitslücken vergleichen.

Aber Emmers schlimmste Befürchtungen werden wahr: Kurze Zeit später erhält Bio.Erd.Shop ein Erpresserschreiben, das diese Lücken benennt und sie veröffentlichen will, sollten keine Bitcoins fließen.

Der Kunde ist äußerst verärgert, zumal er keine Sicherheitsprüfung in Auftrag gegeben hat. Da er keinen Zugriff mehr auf sein von den Erpressern verschlüsseltes System hat, fordert er Schadensersatz und droht mit einer Anzeige. Lizzy ist sauer und will Anzeige gegen unbekannt erstatten. Zudem kündigt sie Susanne und Emmer Konsequenzen an, weil sie, gegen besseres Wissen, Source Code an ein externes KI-Unternehmen übermittelt haben.

[1] https://www.heise.de/news/Mythos-von-Anthropic-Schwachstellen-KI-wirft-neue-Sicherheitsfragen-auf-11270831.html

Fragen:

  • Darf die Chefin ohne Rücksprache mit dem Kunden zuerst nach Sicherheitslücken ­suchen lassen?
  • Darf die Chefin Susanne und Emmer mit Konsequenzen drohen, obwohl sie ihnen den Auftrag erteilt hat, zunächst ­Sicherheits­lücken zu finden?
  • Dürfen Susanne und Emmer ein externes KI-Tool nutzen, ohne die Erlaubnis von Lizzy und dem Kunden einzuholen?
  • Kann die Chefin selbst Probleme bekommen?
  • Hätte Emmer noch entschiedener auf die möglichen Gefahren hinweisen sollen?
  • Wie hätten Emmer und Susanne verhindern können, dass die gefundenen Sicherheits­lücken veröffentlicht werden?
  • Welche Kriterien verbieten es, firmeninternes Material in ein extern betriebenes KI-Tool zur Analyse hochzuladen?
  • Welche Rolle spielt in diesem Kontext der sogenannte Hackerparagraph?

Erschienen in .inf 14, Das Informatik-Magazin, Sommer 2026.

Leave a Reply

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>