IT-Sicherheit Wenn Hacker Unternehmen eine Sicherheitslücke melden
Hauptinhalt
Eine Sicherheitslücke kann für Unternehmen zum Supergau werden. Es gibt aber auch Hacker, die solche Lücken ausfindig machen, um Firmen zu informieren und ihnen zu helfen. Wie sollten Unternehmen auf Hinweise reagieren?
Hacker und Firmen – für viele klingt das wie Täter und Opfer. Die Hacker haben offenbar ein Image-Problem bei den Firmen. Doch es gibt viele Hacker, die eigentlich nur helfen wollen. Dazu gehören auch Karl und Lilith. Sie gehören zur Gruppe "Zerforschung" und beschreiben sich "als ein Kollektiv von jungen Leuten, die im Pandemiefrust über Deutschland verteilt zusammensitzen, verbunden durch eine Messenger-Chatgruppe".
Sicherheitslücken schließen, dann öffentlich informieren
Für Karl ist die sogenannte Hacker-Ethik wichtig. Darin heißt es unter anderem: "Öffentliche Daten nützen, private Daten schützen." Und genau um diesen zweiten Teil ginge es vielen Hackern. Sie wollen auf Sicherheitslücken aufmerksam machen. Und sie wollen den Firmen, dem Staat oder Institutionen helfen, die eigenen Daten oder die der Kunden zu schützen. Allerdings heißt das nicht, daraus ein Geheimnis zu machen.
Es spricht nichts dagegen, die Lücke hinterher zu veröffentlichen. Aber halt erst hinterher, wenn der Hersteller sie geschlossen hat und alle Risiken behoben sind.
"Es spricht nichts dagegen, die Lücke hinterher zu veröffentlichen. Aber halt erst hinterher, wenn der Hersteller sie geschlossen hat und alle Risiken behoben sind." Der Vorteil: Dem Besitzer der Daten entsteht kein Schaden. Aber wie die Lücke entstanden ist, wird öffentlich dokumentiert, damit auch Andere ein ähnliches Problem bei sich entdecken und beseitigen können. Das ist das Angebot, was die Hacker als fair ansehen.
Gute Erreichbarkeit für Hinweise entscheidend
Doch wie sollen Unternehmen reagieren, wenn man sie auf Sicherheitslücken aufmerksam macht? Für Karl beginnt das schon, bevor die Kontaktaufnahme stattfindet. "Die erste Frage, die sich Sicherheitsforscherinnen dann stellen, ist oftmals: Wie erreicht man Euch? Da hat es sich bewährt, dass Ihr auf eurer Website eine spezielle E-Mailadresse für Sicherheitsangelegenheit stehen habt, wie zum Beispiel 'security@'."
Diese Adresse muss regelmäßig abgerufen werden. Und die Empfänger müssen sich im IT-Bereich auskennen. Auch eine Eingangsbestätigung sei wichtig. Denn wenn niemand antwortet, würden alle anderen Wege der Kontaktaufnahme genutzt, so beispielweise auch bei den möglichen Investoren. Karl betont, man wolle eben ganz sicher gehen, dass das Problem bekannt ist und dann behoben wird.
Und Lilith ergänzt an seiner Seite: "Ihr habt nun eine Meldung erhalten. Der nächste Schritt ist jetzt zu prüfen, ob Ihr die Beschreibung der Lücke auch tatsächlich nachvollziehen könnt."
Und dann wäre es gut zu berichten, wie es nun bei den Betroffenen weitergehe, bis hin zum Schließen der Sicherheitslücke. "Hierbei ist es sowohl interessant, welche Sofortmaßnahmen Ihr trefft, als auch, welche langfristigen Konsequenzen Ihr daraus zieht."
Rechtliche Schritte gegen Hinweisgeber problematisch
Wenn die Lücke nicht verstanden oder erkannt wird, solle der Betroffene genauer nachfragen und sich das Problem deutlicher schildern lassen. Lilith erklärt, dass Hacker die Situation gern bis zum Schließen der Sicherheitslücke begleiten und mit Tipps mithelfen.
Doch Betriebe und Organisationen sehen das oft nicht so gern. Lilith hat ein negatives Beispiel miterlebt. Sie wurde in diesem Jahr von der CDU angezeigt, nachdem sie eine Sicherheitslücke gemeldet hatte. Doch nach einem Sturm der Entrüstung in den Sozialen Medien zog die Partei die Anzeige zurück. Selbst die Sicherheitsbehörden bestätigten die Lücke später.
Eine Konsequenz: Die Hackervereinigung Chaos Computer Club will der CDU künftig keine Sicherheitslücken mehr melden.
Quelle: MDR AKTUELL
Dieses Thema im Programm: MDR AKTUELL RADIO | 29. Dezember 2021 | 12:35 Uhr
