Großes Interesse an Schwachstellen

Softwarefehler können enormen Schaden anrichten, wie zuletzt die großangelegte Cyberattacke mit der Schadsoftware „NotPetya“ gezeigt hat. Das Aufspüren solcher Schwachstellen ist die Aufgabe von Bug-Kopfgeldjägern, die damit oft gut verdienen. Interesse an den Diensten der Hacker gibt es dabei nicht nur vonseiten der Hersteller.

Der Softwarehersteller Microsoft bietet für das Auffinden von Schwachstellen bis zu 150.000 US-Dollar (rund 130.000 Euro), bei Apple werden Beträge von bis zu 200.000 US-Dollar (175.000 Euro) pro gefundenen Fehler gezahlt. Fast jedes große IT-Unternehmen bietet mittlerweile eigene „Bug Bounty“-Programme, die talentierte Hacker dazu animieren sollen, die Produkte des Herstellers auf mögliche Fehler zu testen.

Abstürze und Cyberattacken

Mit derartigen Summen entwickelte sich die Fehlersuche in den vergangenen Jahren zum lukrativen Geschäftsmodell. Der Beruf des Bug-Kopfgeldjägers ist etwa in Osteuropa zur populären Alternative zu klassischen Jobs in der Branche geworden. Statt als günstige Arbeitskraft von Großunternehmen zugekauft zu werden, bietet sich für talentierte Programmierer die Chance, mit einem einzelnen gefundenen Fehler ein ganzes Jahresgehalt zu verdienen.

Dass Unternehmen bereit sind, so viel zu zahlen, liegt in erster Linie an den Auswirkungen, die ein unentdeckter Fehler haben kann. Die Folgen reichen von einem Programmabsturz - der ärgerlich, aber relativ harmlos ist - bis hin zur Ermöglichung einer globalen Cyberattacke. Egal ob „WannaCry“, „Petya“ oder die erst kürzlich verbreitete Schadsoftware „NotPetya“: Alle gehen auf oft lange Zeit unentdeckt gebliebene Sicherheitslücken zurück. Der dadurch entstandene Schaden ist nicht nur rein finanziell, sondern kann sich auch langfristig auf den Ruf des jeweiligen Herstellers auswirken.

Auch Regierungen zeigen Interesse

Doch nicht nur Firmen sind an den Softwareschwachstellen interessiert. Während Konzerne zwar durchaus bereit sind, viel Geld für die ordnungsgemäße Meldung entdeckter Fehler zu zahlen, fällt der Preis auf dem Schwarzmarkt oft noch deutlich höher aus. Dort bieten Kriminelle Hackern für ihre Erkenntnisse oft ein Vielfaches des über legale Wege erzielbaren Preises.

Besonders schwerwiegende Lücken könnten damit eine neue Welle an Schadsoftware bedeuten. Spätestens seit der Einführung von Ransomware - Programmen, die Dateien auf einem Computer verschlüsseln und erst gegen Lösegeld freigeben - versteckt sich auch hinter Schadsoftware ein ausgeklügeltes Geschäftsmodell.

Daneben gibt es noch eine weitere Option für den lukrativen Weiterverkauf der gefundenen Fehler: Oft wird dieser Bereich als „Graumarkt“ bezeichnet - eine Sicherheitslücke wird dann nicht direkt an den Hersteller weitergeleitet, aber auch nicht auf dem Schwarzmarkt angeboten. Denn auch Regierungen und andere staatliche Organisationen sind an Bugs interessiert. Oft wird hier über einen Dienstleister die Verbindung zwischen Hackern und Interessenten hergestellt.

Hintertür für den „Bundestrojaner“

Teil des Geschäftsmodells von Anbietern wie etwa dem amerikanischen Unternehmen Zerodium ist dabei die Geheimhaltung gegenüber dem eigentlichen Hersteller der Software. Für Schwachstellen in Apples iPhone-Betriebssystem iOS bietet Zerodium bis zu 1,5 Millionen US-Dollar - ein Vielfaches von dem, was Apple bietet. Findige Hacker müssen damit nicht auf den gefährlichen Schwarzmarkt ausweichen, sondern können vergleichbare Preise ganz legal erzielen, denn eine „Meldepflicht“ für Softwarefehler gibt es nicht.

Dienstleister wie Zerodium spielen damit in der aktuellen Debatte rund um einen möglichen österreichischen „Bundestrojaner“ auch eine zentrale Rolle. Diese Schadsoftware, die im Auftrag von Regierungen - wie etwa zuvor bereits in Deutschland - entwickelt wird, soll Geräte gezielt ausspionieren können und damit auch eine etwaige Verschlüsselung von Nachrichtendiensten wie WhatsApp einfach umgehen. Der Weg auf die zu überwachenden Geräte führt im Normalfall über eine Schwachstelle, die so ganz einfach von „Graumarkt“-Unternehmen erworben werden kann.

Google engagiert Hacker-„Superheldenteam“

Damit entwickelt sich die Fehlersuche zu einem Wettrennen und -bieten zwischen den Herstellern, Regierungen und Kriminellen. Als Alternative zur Hilfe von außen engagiert Google daher selbst zahlreiche Hacker. Unter dem Namen „Project Zero“ vereint das Unternehmen einige Stars der Hackerszene, die das Netz aktiv auf Schwachstellen untersuchen - nicht nur in den eigenen Produkten. Trotzdem dürfte das Unternehmen davon profitieren - denn weniger Schwachstellen und Ausfälle im Netz bedeuten für Google umso mehr Werbeeinnahmen.

Bisher konnten Googles Elitehacker etwa eines der größten bisherigen Datenlecks im Netz aufspüren. Durch die „Cloudbleed“ betitelte Schwachstelle konnten unzählige Nutzerdaten gleich mehrerer bekannter Onlinedienste ausgelesen werden. Der Google-Hacker Tavis Ormandy machte zuerst das betroffene Unternehmen Cloudflare via Twitter auf die Sicherheitslücke aufmerksam.

Nach anfänglicher Zusammenarbeit zwischen Google und Cloudflare erhöhte der Suchmaschinenbetreiber den Druck, als die Arbeit an der Behebung des Problems stockte. Noch bevor eine Lösung gefunden wurde, entschlossen sich die Hacker im Dienste Googles dazu, die Lücke publik zu machen.

Weiße gegen schwarze Hüte

Diese Veröffentlichung ist für Hersteller ähnlich gefährlich wie der Verkauf auf dem Schwarzmarkt: Wird die Schwachstelle veröffentlicht und gibt es noch keine Lösung für das Problem, könnten Kriminelle schnell großen Schaden anrichten. Dementsprechend knüpfen die Hersteller ihre Belohnungen normalerweise an die Bedingung, die gefundenen Fehler bis zur Behebung geheim zu halten.

Neben dem Kampf zwischen „White Hat“- und „Black Hat“-Hackern - jenen, die sich an die Regeln halten und jenen, die auf Schaden aus sind - gibt es mit den Geheimdiensten einen weiteren großen Mitstreiter bei der Fehlersuche. Sie sind nicht an finanzielle Anreize gebunden, und ihre Erkenntnisse bleiben oft unter Verschluss. Die letzten großen Cyberattacken gehen auf vom amerikanischen Geheimdienst National Security Agency (NSA) gefundene Schwachstellen zurück, die über Jahre hinweg geheim gehalten wurden.

Ruhmeshalle für ehrliche Hacker

Entsprechend groß ist die Kritik am Vorgehen der Geheimdienste: Denn eine nicht gemeldete Sicherheitslücke bietet nicht nur den Behörden einen möglichen Einstiegspunkt in Systeme, die sie überwachen wollen. Spätestens wenn entsprechende Dokumente ungewollt an die Öffentlichkeit gelangen, sind diese Schwachstellen auch für Kriminelle zugänglich.

Umso größer ist der Anreiz für Hersteller, ehrliche Finder zu belohnen. Neben Geld werden daher oft - wie etwa bei Facebook - eigene, virtuelle Ruhmeshallen eingerichtet. Dort wird den Hackern für den Verzicht auf größere - aber dubiose - Belohnungen ausdrücklich gedankt.

Links:

• Microsoft Bounty Programs
• Project Zero
• Apple
• Zerodium
• National Security Agency
• Facebook-Ruhmeshalle