Ethische Hacker, die Schwachstellen gefunden haben und gerne melden würden, stehen häufig vor einem Problem: Auf welchem Weg sollen sie ihre Erkenntnisse den Betroffenen mitteilen – und droht nicht ein Strafverfahren, weil sie in fremde IT-Systeme eingedrungen sind? Das Strafgesetzbuch der Schweiz ist eindeutig. Dort heisst es: Auf Antrag werde mit bis zu drei Jahren Freiheitsstrafe bestraft, "wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt". Das kann auch auf jene Hacker Anwendung finden, die in guter Absicht ein System unter die Lupe nehmen.
Um dieses Problem zu mildern, haben einige Firmen und Institutionen sogenannte Coordinate Responsible Disclosures veröffentlicht. In diesen Dokumenten werden die Spielregeln für White-Hat-Hacker festgelegt. Sie enthalten auch einen "Safe Harbour", eine Zusicherung, dass auf rechtliche Schritte verzichtet wird, wenn sich Hacker an die Regeln halten. In den USA sollen solche Regelwerke nun für Behörden zur Pflicht werden.
Die Cybersecurity and Infrastructure Security Agency (CISA) hat dort eine entsprechende Direktive erlassen: Das im Department für Innere Sicherheit angesiedelte Amt räumt US-Behörden 180 Tage ein, um Vulnerability Disclosure Policies (VDPs) bekannt zu geben. "Cybersicherheit ist ein öffentliches Gut, das am stärksten ist, wenn die Öffentlichkeit die Möglichkeit erhält, einen Beitrag zu leisten", heisst es in einem Communiqué der CISA.
Es gibt kaum klare Regeln in der Schweiz
In der Schweiz ist man von einem solchen Vorgehen noch weit entfernt: Hierzulande gibt es kaum verbindliche Regeln für die Meldung von Schwachstellen, sodass diese oftmals von Fall zu Fall verhandelt werden müssen. Klare Regeln brauche es aber, damit ethische Hacker ihren Beitrag leisten könnten, sagt Sandro Nafzger, die herkömmlichen Massnahmen reichten zur Behebung der Schwachstellen in den IT-Systemen kaum aus.
Der Security-Spezialist muss es wissen, er hat kürzlich mit zwei Partnern
die erste unabhängige Bug-Bounty-Firma der Schweiz gegründet. Diese ist mit ihrem Ansatz, im Rahmen einer klaren Vereinbarung Hacker auf Systeme loszulassen, auf ein Regelwerk angewiesen. In seiner Funktion als CEO von Bug Bounty Switzerland sprach Nafzger mit inside-it.ch. Der Wirtschaftsinformatiker ist zudem für die Post tätig und hat hier geholfen,
ein Bug Bounty Programm aufzubauen. In dessen Rahmen werden Prämien für das Melden von Lücken ausgelobt, deren Auffinden klar geregelt ist.
Einige Firmen hierzulande haben solche Regeln für ein verantwortungsvolles Melden von Lücken veröffentlicht. So verfügen etwa die Post und Swisscom über welche, auf denen ihre Bug-Bounty-Programme beruhen. Und auch die SBB hat eine Vulnerability Disclosure Policy publiziert. Dort heisst es gleich im Einstieg: "Wir begrüssen Berichte von Sicherheitsforschern und -Experten über potenzielle Schwachstellen in unseren IT-Systemen."
Missverständnisse, schwarze Schafe und die Angst der Hacker
Es gebe aber immer noch viel zu wenige Grundlagen, so Nafzger. Das Problem sei, dass in der Kommunikation zwischen Hackern und Firmen öfters etwas schieflaufe. Erstere hätten gerne eine Belohnung für ihre Entdeckungen, zweitere fühlten sich teilweise erpresst. Zugleich gibt es auch Hacker, die im Graubereich agieren und eine "Spende" erzwingen wollen, indem sie die Offenlegung einer Lücke gegenüber den Betroffenen von einer Zahlung abhängig machen. Viele White-Hat-Hacker schreckt der Zustand offenbar ab, sie wissen laut dem CEO von Bug Bounty Switzerland öfter von Lücken, würden diese aber nicht melden.
Pascal Lamia, Leiter Operative Cybersicherheit bei der Melde- und Analysestelle Informationssicherung (Melani), erklärt auf Anfrage, dass in den letzten Jahren rund zehn Hinweise auf verwundbare Systeme in der Schweiz eingegangen seien. Er bestätigt die Einschätzung, dass der Meldeprozess mit einer klaren Regelung für alle Beteiligten vereinfacht würde, betont aber, dass man sich bei Melani anonym melden könne.
Laut Lamia steht die zuständige Schweizer Stelle mit europäischen Ländern und auch mit der European Union Agency for Cybersecurity (ENISA) in Kontakt in Sachen Disclosure Policies. Pioniere finden sich in Holland, wo das Nationale Zentrum für Cybersicherheit (NCSC) ein Regelwerk veröffentlicht hat. Einige Erfahrungen sammelte das Schweizer Pendant bereits
beim Pentest des Schweizer Corona-Proximity-Tracing-Systems.
Die Direktive der US-CISA könnte nun richtungsweisend sein. Sie definiert auch, was US-Behörden festlegen müssen: wohin eine Lücke rapportiert werden soll, für welche Systeme welche Tests zugelassen sind, mit welcher Kommunikation die Spürnasen rechnen dürfen und unter welchen Bedingungen keine rechtlichen Schritte eingeleitet werden.
Vom Regelwerk zum Prämiensystem
Genau diese Angaben werden im Regelwerk der SBB auch gemacht. Unter anderem ist dort zu lesen: "Jedes öffentlich zugängliche System im Besitz der SBB oder von Swisspass ist im Geltungsbereich." Ausserdem ist festgelegt, welche Methoden nicht zulässig sind, so etwa Social Engineering oder die Zerstörung von fremden Daten. Wer Lücken in einem detaillierten Report an die genannte Adresse schickt, darf mit einer Antwort innert fünf Arbeitstagen rechnen. Diese soll, so versichert die SBB, der Anfang einer offenen Debatte sein, in der auch eine Timeline für die Bereitstellung von Patches definiert wird.
Bei Post und Swisscom ist man mit den Bug-Bounty-Programmen – mit dem Versprechen auf Prämien für Lücken – noch einen Schritt weiter. Bei der Post haben Hacker im Rahmen des Programms mittlerweile 50 kritische Schwachstellen aufgedeckt, Swisscom meldete die Entdeckung von insgesamt 400 Vulnerabilities.