re:publica 19 - Politics & Society

Historisch gesehen hatten es Überbringer schlechter Nachrichten nie leicht. Auch wenn es unüblich geworden ist, sie gleich zu töten, sind die Methoden, um die Boten zu drangsalieren, heute vielfältiger und kreativer geworden. Sicherheitsforscher*innen, die im Laufe ihrer Karriere auf Sicherheitslücken stoßen, stehen vor einem Problem: Sollen sie den Fund melden? Wo überhaupt? Wie bekommen sie Kontakt und was passiert nach der Kontaktaufnahme?

• Thorsten Schröder

Wir leben 2018 in einem hoch-technologisierten Land, in dem Politik und Wirtschaft gern davon reden, dass Deutschland beim Thema IT-Sicherheit ganz vorne mitspielen solle. Umso mehr verwundert das Verhalten vieler Firmen, in deren Produkten Sicherheitslücken entdeckt wurden. 

Die meisten Hacker*innen, die Schwachstellen entdecken, gehen damit verantwortungsvoll um: Sie schreiben dem Hersteller einen kurzen Bericht über die Lücke und geben ihm zum Beheben Zeit, bevor die Information öffentlich gemacht wird. Ein solches Vorgehen ist normal, und wird als "Coordinated Disclosure" oder "Responsible Disclosure" bezeichnet.

Doch auch innerhalb der Hacker*innen-Community ist der Umgang mit solchen Fällen vielfältig. Wir haben schon alles gesehen: Hacker*innen, die mit Bug-Bounty Programmen für ihre Arbeit belohnt werden, bis hin zu rechtlichen Schritten gegen die ehrenamtliche "Qualitätssicherung" eigener Produkte – teils unter hanebüchnen Vorwänden.

In diesem Vortrag wird ein wenig aus dem Nähkästchen der Sicherheitsforscher*innen geplaudert. Am Ende sind Sie hoffentlich alle für den Ernstfall gewappnet: Forscher*innen melden Schwachstellen in Ihrem System – und Sie gehen verantwortungsvoll mit den Informationen und den Botinnen und Boten dieser schlechten Nachrichten um. Die "Dos & Don'ts" gelten allerdings für alle Parteien: Auch die kreativen Köpfe der Hacker*innen-Community sollten sich an gewisse Spielregeln halten.