Technik

Heartbleed war nur der Anfang Wie Hacker das Internet retten

Hacker.jpg

Nur Hacker können Hacker bekämpfen.

(Foto: REUTERS)

Heartbleed hat es deutlich gezeigt: Wirtschaft und Politik tun immer noch viel zu wenig für die IT-Sicherheit. Wenn die OpenSSL-Lücke ohne größere Konsequenzen bleibt, hat die Welt dies den gleichen Leuten zu verdanken, vor denen sie sich fürchtet: Hackern.

Wenn in den Schlagzeilen "Hacker" steht, erwartet der Leser normalerweise einen Artikel über Cyberkriminelle. Doch damit tut man vielen, wenn nicht sogar den meisten Hackern unrecht. Denn Hacker sind per se nicht böse, sondern einfach nur Technikenthusiasten, die großen Spaß daran haben, ein System bis zum Kern zu erkunden und mögliche Hindernisse zu überwinden. Nur ein Teil von ihnen nutzt dieses Wissen für kriminelle Aktionen aus, im Fachjargon nennt man sie "Black Hats" (Schwarze Hüte). Andere suchen im Dienst der Allgemeinheit oder einzelner Unternehmen gezielt nach Lücken, um Software und Systeme sicherer zu machen. Die, die sich dabei an die Gesetze halten, heißen White Hats. Sie arbeiten oft für Unternehmen oder legale Organisationen. Grey Hats sind Hacker, die auch mal ein Gesetz übertreten, um beispielsweise auf ein verschwiegenes Sicherheitsproblem aufmerksam zu machen.

Ohne Hacker kein sicheres Internet

Die Köpfe, auf denen die weißen und grauen Hüte sitzen, sind für die Gesellschaft enorm wichtig. Ohne sie könnte wahrscheinlich kein Normal-Nutzer, kein Unternehmen und keine Behörde mehr das Internet nutzen. Es wäre schlicht zu gefährlich. Wie der Heartbleed-Bug zeigt, tun Staaten und Unternehmen derzeit noch herzlich wenig für mehr Sicherheit im World Wide Web. Dem Entwickler, der den Fehler in die Verschlüsselungs-Software OpenSSL versehentlich einbaute, kann man keinen Vorwurf machen. Er opfert für Open-Source-Projekte seine Freizeit, Fehler können passieren. Dass aber selbst große Internet-Anbieter, Unternehmen und Banken die kostenlose Software, die für ihre Sicherheit und die ihrer Kunden zuständig ist, einfach ungeprüft einsetzen, ist extrem ärgerlich.

Doch selbst wenn eine Organisation Sicherheit ernst nimmt und Fachleute einsetzt, die nach Lücken suchen, ist es oft reine Glückssache, wenn ein Fehler wie Heartbleed entdeckt wird. Auch die Firma Codenomicon fand den zunächst "CVE-2014-0160" genannten Bug am 1. April nur zufällig. "Wir entwickelten eine Software namens Safeguard, die automatisch Verschlüsselungen und Authentifizierungen prüft", sagte Firmenchef David Chartier dem Magazin "Readwrite". Bei deren Test sei ein Mitarbeiter auf Heartbleed gestoßen.

Google patchte, bevor Heartbleed bekannt war

Fast zeitgleich, aber etwas früher als Codenomicon, meldete Google-Mitarbeiter Neel Mehta die Lücke an OpenSSL, das dann am 7. April eine Warnung herausgab. Ob der Sicherheitsexperte den Bug tatsächlich in seiner Freizeit entdeckte, ist allerdings nicht klar. Denn wie ein Protokoll von Redhat Bugzilla beweist, schrieben zwei Google-Mitarbeiter bereits am 21. März einen Patch, der das Problem behob. Vielleicht hat sich der Internet-Riese auch nur etwas Zeit genommen, seine Dienste zu flicken, bevor er den Fehler publik machte.

Wie dem auch sei, Neel Mehta erhielt für seinen Fund von HackerOne eine Belohnung in Höhe von 15.000 Dollar, die er dann an die Freedom of The Press Foundation spendete, die Geld für Verschlüsselungs-Werkzeuge für Journalisten sammelt. Möglicherweise hatte der Google-Sicherheitsexperte die Belohnung nicht nötig. Die meisten Hacker aber wären wohl froh über die finanzielle Anerkennung ihrer gemeinnützigen Arbeit gewesen.

Belohnung statt Beute

Black Hats können mit ihrer Schad-Software oder den damit erbeuteten Daten eine Menge Geld verdienen. Die "guten" Hacker dagegen dürfen sich schon freuen, wenn ihre Warnungen überhaupt gehört und nicht unter den Teppich gekehrt werden. Mit viel Glück erhalten sie eine kleine Belohnung, die Google, Facebook oder andere große Internet-Unternehmen für gefundene Sicherheitslücken ausgesetzt haben.

Es gibt also auf der einen Seite viele begabte Hacker, die ihr Können mit der Aussicht auf eine anständige Erfolgsprämie unter Beweis stellen möchten. Auf der anderen Seite gibt es Tausende IT-Firmen, die gerne Software und Systeme verbessern würden, um gegen Angriffe gewappnet zu sein. Eigene Experten sind teuer und bei Weitem nicht so wirkungsvoll wie Dutzende, Hunderte oder gar Tausende Hacker, die gleichzeitig nach Schwachstellen suchen. Außerdem haben Organisationen wie OpenSSL für eine effiziente Sicherheitskontrolle überhaupt keine Mittel. Der Präsident der Stiftung sagte "ZDNet", OpenSSL habe rund 9000 Dollar an Spenden gesammelt seit Heartbleed bekannt wurde. Von Google und all den anderen Unternehmen, die OpenSSL verwenden, sieht das Open-Source-Projekt offenbar keinen müden Cent.

HackerOne will das Belohnungsprinzip daher effizienter, gerechter und allgemeinnützlicher machen. Das von Microsoft und Facebook angeschobene Projekt ist für alle Unternehmen offen, die ihre Software überprüfen lassen möchten. Jeder, der ein Hacker ist oder werden möchte, kann sich den Herausforderungen stellen. Für gefundene Lücken gibt's Prämien, deren Höhe ein Gremium von Sicherheitsexperten festlegt. Für kleinere Projekte gibt es mindestens 500, für gefundene Sandbox-Löcher 5000 Dollar. Aus dem Topf, den zu einem großen Teil noch Facebook und Microsoft füllen, werden außerdem die Belohnungen für entdeckte allgemeine Bedrohungen finanziert. Dazu gehören auch die 15.000 Dollar für Neel Mehta.

Heartbleed bis zu 500.000 Dollar wert

HackerOne-Chef Merrijn Terheggen hofft, dass seine Organisation künftig noch viele Schwachstellen wie Heartbleed entdeckt und bald wie Wikipedia zum Crowdsourcing-Selbstläufer wird. Das Geld ist für die beteiligten Unternehmen sehr gut angelegt, da sie hochbegabten Hackern gemeinsam genug bieten können, um sie von einer kriminellen Laufbahn abzuhalten. Ein Bug wie Heartbleed könne künftig 100 bis 500.000 Dollar auf dem Schwarzmarkt bringen, sagte Terheggen dem "NewScientist". Die Belohnungen müssten da mithalten können.

Einen ähnlichen, aber kommerzielleren Weg geht das Startup-Unternehmen BugCrowd, bei dem sich angeblich bereits 8100 Hacker angemeldet haben. Es hat PR-trächtig ein Crowdtilt-Projekt für OpenSSL gestartet, um sicherzustellen, "dass Heartbleed nicht nochmal passiert".

Dazu könnten übrigens auch Staaten beitragen. Verglichen mit Bankenrettungsschirmen wären für die Crowd-Security lächerliche Beträge fällig. Und mit solchen Möglichkeiten für die Unternehmen, ihren Schutz zu verbessern, wäre ein IT-Sicherheitsgesetz auch mehr als ein Pfeifen im Wald.

Quelle: n-tv.de