Lego Cowboy

Dass Technologien Macken und Netzwerke Lücken haben, damit sind wir alle dank andauernder Updatezyklen ausreichend vertraut. Immer mal wieder generiert eine Schwachstelle große mediale Aufmerksamkeit wie zuletzt die angreifbaren Qualcomm Chips, die in bis zu einer Millionen Android Geräten verbaut waren. Aber wie kommen solche Sicherheitslücken überhaupt ans Licht? Und wie verhindern wir, dass sie ausgenutzt werden?

Der Patch, also das Sicherheitsupdate, vieler Hersteller, die auf Android setzen und Qualcomm Chips verwenden, ließ lange auf sich warten. Ein bekanntes Problem der Android-Lieferkette und der Grund, weshalb der potentielle „Quadrooter“-Angriff überhaupt so bekannt wurde. Standardmäßig haben Hersteller nämlich 90 Tage Zeit, ein Patch für eine Sicherheitslücke bereitzustellen, bevor diese öffentlich gemacht wird. So hatte die Firma „Check Point Software Technologies Ltd“ die von ihnen gefundene Schwachstelle im April an Qualcomm gemeldet und nun Anfang August, nach Ablaufen der Frist, auf dem Hackerkongress DefCon in Las Vegas vorgestellt.

Mit Sicherheitslücken zur Berühmtheit

„Check Point“ ist eine Sicherheitsfirma und die Veröffentlichung einer Sicherheitslücke wie der Quadrooter-Angriff ist in erster Linie ruf- und damit profitfördernd. Liest man beispielweise die Blogeinträge des Unternehmens zu gefundenen Schwachstellen, wird man an mehreren Stellen auf die Sicherheitskonzepte und -dienstleistungen Check Points hingewiesen. Auch für Privatpersonen, die Schwachstellen in Systemen fanden, war das Veröffentlichen von Lücken lange ein Weg, den eigenen Namen in Programmierer_innen-Kreisen zu etablieren. Vor allem in den frühen Jahren der Informations- und Kommunikationstechnologien, wo es an standardisierten Qualifikationen und Zeugnissen mangelte, konnte man so sein Können unter Beweis stellen.

Heutzutage stehen Programmierer_innen vor einem breiteren Spektrum an Möglichkeiten, wenn ihnen eine Schwachstelle begegnet. Firmen haben früh begriffen, dass das ‚crowdsourcing‘ von Sicherheit ungemein effektiv sein kann und angefangen, kleinere Summen als Finderlohn auszuzahlen. Solche Belohnungssysteme haben sich unter dem Namen „Bug Bounty“ (also in etwa: Kopfgeld für Schädlinge) etabliert. Der erste Weg, den man also einschlagen kann, wenn man eine Sicherheitslücke entdeckt hat, ist das entsprechende Unternehmen zu informieren, in vielen Fällen eine kleine Summe zu kassieren, den Patch des Entwicklers abzuwarten und dann den Rufzuwachs durch die Assoziation mit dem gefundenen Risiko zu genießen.

Der Handel mit Unsicherheiten

Wesentlich lukrativer geht es allerdings auf dem Schwarzmarkt zu. Motivierte Kriminelle sind häufig bereit, ein Vielfaches der offiziellen Bug Bounties zu zahlen. Nachteile sind natürlich, dass man sich so potentiell strafbar macht und im weiteren Sinne auch jegliche Kontrolle über die Nutzung der Unsicherheit verliert. Ob ein_e Käufer_in die Information für sich nutzt oder weiterverkauft, wird kaum nachzuverfolgen sein – an Interessent_innen mangelt es jedenfalls nicht. Gerüchteweise hat auch das FBI für etwa $1 Million eine Sicherheitslücke erstanden, um das iPhone des San Bernardino-Täters zu knacken. Ob sie dazu auf Schwarzmarktgebote zurückgriffen, ist nicht bekannt, häufig aber auch gar nicht notwendig.

Denn in den letzten zehn Jahren sind zunehmend ganz legale Zwischenhändler für Systemunsicherheiten auf den Plan getreten. Hierin besteht nun also eine weitere Möglichkeit Schwachstellen loszuwerden, will man sich weder an das Unternehmen selbst wenden noch die Risiken des Schwarzmarktes in Kauf nehmen. Solche Händler operieren meist international und bieten ihren Kunden jährliche Abonnements mit je nach Preisklasse verschieden ausführlichen Berichten und Anwendungsanleitungen zu Sicherheitslücken. Transparenz ist kein Anliegen solcher Firmen wie z.B. „Zerodium“, deren Kundenbasis laut eigener Aussage aus großen Unternehmen in der Tech- sowie Finanzbranche als auch Regierungsorganisationen bestehen, welche mindestens $500,000 pro Jahr zahlen. Diese Summen erklären auch, wie Zerodium, die vor Kurzem eine Preisliste für Unsicherheiten veröffentlichten, in der Lage ist, bis zu eine halbe Million Dollar für eine Lücke in Apples iOS zu zahlen. Apple selbst hat Anfang dieses Monates als größtmögliche Belohnung „nur“ $200.000 ausgelobt.

Ring frei für den Preiskampf

Dabei handelt es sich zwar schon um die Königsklasse der Unsicherheiten; was sich aber eindeutig feststellen lässt, ist ein rapider Anstieg der Preise, die für Sicherheitslücken gezahlt werden. 2013 war die höchste Belohnung, die Facebook je an eine_n Kopfgeldjäger_in gezahlt hatte $33.500, Googles Top Auszahlung wurde mit $31.336 beziffert – heutzutage zahlt Google schon bis zu das Dreifache dieser Summe. Das Sicherheitsunternehmen Bugcrowd spricht sogar davon, dass ihre Sicherheitsforscher_innen in den letzten zwölf Monaten einen Zuwachs von 47% in der Durschschnittsauszahlung pro „Bug“ verzeichneten.

Zu erkennen ist also ein Preiskampf um Sicherheitslücken, der die Belohnungen immer weiter in die Höhe treibt. Das liegt daran, dass zum einem die Nachfrage nach Sicherheitslücken das Angebot weit überschreitet. Zum anderen ist es auch nicht einfach für jeden möglich, in das Geschäft um die Sicherheitslücken einzusteigen und so anderen deren Gewinn streitig zu machen, da ein hohes Niveau an technischem Know-How gefragt ist. Erstmal eine erfreuliche Entwicklung für alle Sicherheitsforscher_innen, darüber hinaus aber ergeben sich aber zwei Probeme. Erstens: Wenn Firmen mit immer höheren Sicherheitskosten konfrontiert sind, sind sie theoretisch irgendwann gezwungen höhere Preise zu verlangen, um ihre Kosten zu decken. Da aber gerade Technologie-Giganten wie Apple oder Google die weltweit höchsten Gewinne erzielen, sollten steigende Kosten zumindest kurzfristig kein Problem darstellen. Zu hinterfragen wäre vielleicht eher, ob Steuergelder in solche Preiskämpfe miteinfließen sollten. Denn im Endeffekt üben Zwischenhändler wie Zerodium mit ihren teilweise astronomischen Belohnungen großen Druck auf den Markt aus und das Kapital solcher Firmen stammt unter anderem aus den Abonnementzahlungen verschiedener Regierungen.

Das zweite Problem ist die undurchsichtige Struktur solcher Zwischenhändler, generell mangelt es nicht an Kritik an den Geschäften innerhalb der Cybersicherheitsbranche. Zurückführen kann man das auf die Dual-Use Natur von Technologien – in zweierlei Hinsicht. Einerseits können verschiedene Anwendungen sowohl im zivilen wie auch militärischen Bereich von Nutzen sein. Andererseits können z.B. Sicherheitslücken für offensive sowie defensive Vorgehen eingesetzt werden. Soll heißen, weiß man um eine Sicherheitslücke, kann man sie schließen – oder ausnutzen.

Mit der Einführung von Bug Bounty Programmen und wiederholtem Erhöhen von Belohnungen scheinen Firmen sich angesichts immer neuer Technologien, Lücken und Krimineller jedenfalls nicht ausschließlich auf das Moralverständnis von Sicherheitsforscher_innen verlassen zu wollen.

Titelbild: Lego Cowboy von Chris Sheppard via flickr, licenced CC BY 2.0 

CC-Lizenz-630x1101