IT-Sicherheit Wenn Hacker Unternehmen eine Sicherheitslücke melden

Eine Sicherheitslücke kann für Unternehmen zum Supergau werden. Es gibt aber auch Hacker, die solche Lücken ausfindig machen, um Firmen zu informieren und ihnen zu helfen. Wie sollten Unternehmen auf Hinweise reagieren?

Eine KI-Wissenschaftlerin arbeitet an Computerbildschirmen und programmiert Lösungen mit Künstlicher Intelligenz.
Im Landkreis Anhalt-Bitterfeld legte im Sommer ein Hackerangriff die Verwaltung zwischenzeitlich komplett lahm. Es gibt aber auch Hacker, die Hilfestellungen zur IT-Sicherheit bieten. Bildrechte: dpa

Hacker und Firmen – für viele klingt das wie Täter und Opfer. Die Hacker haben offenbar ein Image-Problem bei den Firmen. Doch es gibt viele Hacker, die eigentlich nur helfen wollen. Dazu gehören auch Karl und Lilith. Sie gehören zur Gruppe "Zerforschung" und beschreiben sich "als ein Kollektiv von jungen Leuten, die im Pandemiefrust über Deutschland verteilt zusammensitzen, verbunden durch eine Messenger-Chatgruppe".

Sicherheitslücken schließen, dann öffentlich informieren

Für Karl ist die sogenannte Hacker-Ethik wichtig. Darin heißt es unter anderem: "Öffentliche Daten nützen, private Daten schützen." Und genau um diesen zweiten Teil ginge es vielen Hackern. Sie wollen auf Sicherheitslücken aufmerksam machen. Und sie wollen den Firmen, dem Staat oder Institutionen helfen, die eigenen Daten oder die der Kunden zu schützen. Allerdings heißt das nicht, daraus ein Geheimnis zu machen.

Es spricht nichts dagegen, die Lücke hinterher zu veröffentlichen. Aber halt erst hinterher, wenn der Hersteller sie geschlossen hat und alle Risiken behoben sind.

Karl vom IT-Sicherheitskollektiv "Zerforschung"

"Es spricht nichts dagegen, die Lücke hinterher zu veröffentlichen. Aber halt erst hinterher, wenn der Hersteller sie geschlossen hat und alle Risiken behoben sind." Der Vorteil: Dem Besitzer der Daten entsteht kein Schaden. Aber wie die Lücke entstanden ist, wird öffentlich dokumentiert, damit auch Andere ein ähnliches Problem bei sich entdecken und beseitigen können. Das ist das Angebot, was die Hacker als fair ansehen.

Gute Erreichbarkeit für Hinweise entscheidend

Doch wie sollen Unternehmen reagieren, wenn man sie auf Sicherheitslücken aufmerksam macht? Für Karl beginnt das schon, bevor die Kontaktaufnahme stattfindet. "Die erste Frage, die sich Sicherheitsforscherinnen dann stellen, ist oftmals: Wie erreicht man Euch? Da hat es sich bewährt, dass Ihr auf eurer Website eine spezielle E-Mailadresse für Sicherheitsangelegenheit stehen habt, wie zum Beispiel 'security@'."

Diese Adresse muss regelmäßig abgerufen werden. Und die Empfänger müssen sich im IT-Bereich auskennen. Auch eine Eingangsbestätigung sei wichtig. Denn wenn niemand antwortet, würden alle anderen Wege der Kontaktaufnahme genutzt, so beispielweise auch bei den möglichen Investoren. Karl betont, man wolle eben ganz sicher gehen, dass das Problem bekannt ist und dann behoben wird.

Und Lilith ergänzt an seiner Seite: "Ihr habt nun eine Meldung erhalten. Der nächste Schritt ist jetzt zu prüfen, ob Ihr die Beschreibung der Lücke auch tatsächlich nachvollziehen könnt."

Und dann wäre es gut zu berichten, wie es nun bei den Betroffenen weitergehe, bis hin zum Schließen der Sicherheitslücke. "Hierbei ist es sowohl interessant, welche Sofortmaßnahmen Ihr trefft, als auch, welche langfristigen Konsequenzen Ihr daraus zieht."

Rechtliche Schritte gegen Hinweisgeber problematisch

Wenn die Lücke nicht verstanden oder erkannt wird, solle der Betroffene genauer nachfragen und sich das Problem deutlicher schildern lassen. Lilith erklärt, dass Hacker die Situation gern bis zum Schließen der Sicherheitslücke begleiten und mit Tipps mithelfen.

Doch Betriebe und Organisationen sehen das oft nicht so gern. Lilith hat ein negatives Beispiel miterlebt. Sie wurde in diesem Jahr von der CDU angezeigt, nachdem sie eine Sicherheitslücke gemeldet hatte. Doch nach einem Sturm der Entrüstung in den Sozialen Medien zog die Partei die Anzeige zurück. Selbst die Sicherheitsbehörden bestätigten die Lücke später.

Eine Konsequenz: Die Hackervereinigung Chaos Computer Club will der CDU künftig keine Sicherheitslücken mehr melden.

Quelle: MDR AKTUELL

Dieses Thema im Programm: MDR AKTUELL RADIO | 29. Dezember 2021 | 12:35 Uhr

Mehr aus Wirtschaft

«Azubis gesucht» steht auf einem Banner am Stand einer Firma beim Forum Berufsstart Mitteldeutschland in Erfurt. mit Video
Auf Berufsberatungsmessen suchen Unternehmen nach Azubis. Bildrechte: dpa

Mehr aus Deutschland