Bild Romano Ramanti Zertifikatsarbeit

Aktuell26. Oktober 2020

Offenlegung von Sicherheitslücken aus ethischer Sicht

Er arbeitet als Hacker bei einer Schweizer Bank und gehört zu der Pionierklasse des CAS Digital Ethics, die im Sommer abgeschlossen hat: Romano Ramanti. In seiner Zertifikatsarbeit hat er sich mit der Offenlegung von Sicherheitslücken befasst und bei der Untersuchung ethische Faktoren miteinfliessen lassen. Was dabei herausgekommen ist, erzählt er uns im Interview.

Romano Ramanti, Hacker haben in der Gesellschaft keinen einfachen Stand. Der Begriff ist ja doch eher negativ konnotiert. Sie sind selbst ein Hacker, aber einer von den guten. Wie genau darf man sich das vorstellen?
Es gibt Hacker und es gibt Cyberkriminelle. Cyberkriminelle setzen ihre Fähigkeiten dafür ein, um mit den gefundenen Schwachstellen Schaden anzurichten oder damit Geld zu verdienen. Hacker hingegen bewahren Stillschweigen über die gefundene Schwachstelle. Sie arbeiten eng mit dem Hersteller zusammen, um die Lücke zu schliessen und so den Benutzer vor Schäden zu bewahren.

Sicherheitslücken, die Sie in einem Softwareprodukt oder Betriebssystem finden, melden sie anschliessend dem Softwareanbieter. Was passiert dann?
Früher reagierten die Softwareanbieter umgehend auf eine Meldung. Heute erlebe ich immer mehr, dass der Hersteller auch nach mehrmaligen Kontaktaufnahmen nicht reagiert, die Kritikalität der Schwachstelle falsch einstuft oder sich lange Zeit lässt, um die Lücke zu schliessen.

Sie sagen, dass viele Softwareanbieter nicht reagieren. Dadurch werden Endnutzer einem hohen Risiko ausgesetzt…
Das ist richtig. Es ist nur eine Frage der Zeit bis eine Schwachstelle durch Cyberkriminelle gefunden und ausgenutzt wird. Dieser Umstand setzt den Benutzer dem Risiko aus, persönliche Daten oder Geld zu verlieren.

Was meinen Sie, weshalb reagieren viele Softwareanbieter nicht auf die Warnhinweise?

Dies hat verschiedene Gründe:

  • Weiterleitung der Anfrage versandet (meistens in grossen Firmen)
  • Keine klare Zuständigkeiten
  • Validierung der Meldung durch den Softwareanbieter ist Zeitaufwendig
  • Kein Budget um Schwachstelle zu beheben
  • Know-how ist nicht vorhanden
  • Laufende Projekte müssen unter Umständen zurück gestellt werden um die Schwachstelle zu beheben

In Ihrer Diplomarbeit «The Ethics of Vulnerability Disclosure» im CAS Digital Ethics haben Sie sich mit den drei gängigsten Varianten der Offenlegung von Sicherheitslücken befasst. Was sind das für Varianten?

  • Bei der full disclosure handelt es sich um die komplette Veröffentlichung der Schwachstelle ohne Rücksprache mit dem Hersteller. Dies würde zwar den Benutzer warnen, würde aber Cyberkriminellen einen Angriffsvektor liefern
  • Bei der responsible disclosure wird eine koordinierte Offenlegung mit dem Hersteller vereinbart. Erst wenn die Lücke geschlossen ist, wird die Öffentlichkeit informiert. Hacker und Hersteller arbeiten eng zusammen
  • Und dann gibt es noch Bug Bounty programme. Immer mehr Softwareanbieter ermöglichen die Teilnahme an sogenannten Bug Bounty Programmen. Hier können Hacker nach Schwachstellen suchen. Der Meldeprozess ist reguliert und es wird sichergestellt, dass eine responsible disclosure eingehalten wird

Sie haben bei der Untersuchung dieser drei Varianten versucht, die ethischen Fragestellungen unter Berücksichtigung der Hackerethik und der konsequentialistischen Ethik zu beleuchten. Welche ethischen Werte/Grundsätze muss ein Hacker verfolgen?
In meiner täglichen Arbeit orientiere ich mich stark an der Hacker-Ethik, welche vom Chaos Computer Club von Steven Levy übernommen wurde. Das sind insbesondere die folgenden Punkte:

  • Schutz der Privatsphäre des Einzelnen
  • Förderung von Informationsfreiheit für Informationen, welche die Öffentlichkeit betreffen
  • Beurteile einen Hacker nach dem, was er tut, und nicht nach üblichen Kriterien wie Aussehen, Alter, Spezies, Geschlecht oder gesellschaftlicher Stellung
  • Mülle nicht in den Daten anderer Leute

(siehe auch https://www.ccc.de/de/hackerethics)

Was ist bei der Untersuchung herausgekommen? Welche Variante(n) der Offenlegung wären unter der genannten Berücksichtigung erlaubt?
In meiner Arbeit habe ich versucht, eine Antwort darauf zu finden. Die Hacker-Ethik (wie eben erwähnt) beleuchtet diesen Aspekt aus meiner Sicht zu wenig. Daher habe ich die konsequentialistische Ethik herangezogen, um meine Annahmen zu validieren. Die konsequentialistische Ethik zeichnet sich dadurch aus, dass der moralischen Wert einer Handlung ausschliesslich auf Grund der daraus entstehenden Folgen beurteilt wird.

Eine Handlung ist dann gut, wenn die Konsequenzen daraus einen maximalen Nutzen für alle Beteiligten bringen. Dies kann nur mit einer responsible disclosure, also die koordinierte Offenlegung sichergestellt werden.

Sollen Hacker zukünftig anders vorgehen, wenn Softwareanbieter auf mitgeteilte Sicherheitslücken nicht reagieren? Sprich, sollen Sicherheitslücken schneller veröffentlicht werden oder weiterhin nur im äussersten Notfall?
In meiner Arbeit habe ich alternative Möglichkeiten aufgezeigt, wenn Softwareanbieter nicht reagieren. Whistleblowing-Plattformen oder firmeneigene Whistleblowing Programme können ebenfalls zu einer Reaktion beitragen. Diese Wege wurden bisher nicht so oft von Hackern genutzt. Oft genügt auch schon ein Warn-Tweet mit Kopie an den Anbieter um Attention zu erhalten. Ethische Hacker sollten nie den Weg einer full disclosure wählen.

 

Oderbolz Laura HWZ Kommunikation

Laura Oderbolz

Project Manager Corporate Communications

Verpassen Sie nichts! Abonnieren Sie unseren Newsletter.

Der Newsletter informiert Sie über die aktuellen Trends, News und Events an der HWZ.

Jetzt anmelden