US-Bug-Bountys lassen "gute" Hacker in die Falle tappen

Gut gemeinte Bug Bountys setzen ihre Jäger dem Risiko aus, in den USA vor Gericht gestellt zu werden. Grund sind unbedacht formulierte Teilnahmebedingungen.

In Pocket speichern vorlesen Druckansicht 85 Kommentare lesen
Amit Elazari

Die Juristin Amit Elazari prangert zu viele Textbausteine in den Teilnahmebedingungen der Bug Bountys von US-Unternehmen an.

(Bild: Daniel AJ Sokolov)

Lesezeit: 4 Min.
Inhaltsverzeichnis

Zahlreiche Unternehmen loben Belohnungen für das Melden von Sicherheitslücken aus, insbesondere in den USA. Die so genannten Bug Bountys sollen rechtschaffene Hacker belohnen und eine – wenngleich finanziell oft weniger lukrative – legale Alternative zum Schwarzmarkt sein. Tatsächlich laufen Teilnehmer aber Gefahr, im Gefängnis zu landen, warnte die Juristin Amit Elazari auf der Konferenz Usenix Enigma.

Grund sind schlecht formulierte Teilnahmebedingungen. In ihrem Aufsehen erregenden Vortrag las Elazari den im Publikum zahlreich anwesenden Security-Experten des Silicon Valley die Leviten: "Ich habe hunderte Teilnahmebedingungen von Bug-Bounty-Plattformen und -Programmen gelesen. Warum attackieren wir immer noch freundliche Hacker anstatt ihnen dabei zu helfen, uns zu helfen?"

Auf der Usenix Enigma redete Amit Elazari den Betreibern von Bug Bountys ins Gewissen.

(Bild: Daniel AJ Sokolov)

Sie verwies auf zwei wichtige US-Bundesgesetze, das Computer Fraud and Abuse Act (CFAA) und das Copyright-Gesetz DMCA. Der CFAA verfolgt Hacker sowohl zivilrechtlich als auch strafrechtlich, sofern ihr Handeln nicht "autorisiert" war. Das DMCA wiederum verbietet die Umgehung von Kopierschutz ohne Zustimmung des Rechteinhabers.

Und hier liegt die Krux: Die Bug Bountys laden Hacker eben dazu ein, Systeme zu hacken und Schutzmaßnahmen zu umgehen. Doch im Kleingedruckten folgt regelmäßig der Hammer: Es wird darauf verwiesen, dass alle Gesetze einzuhalten seien – das ist das Gegenteil einer Autorisierung oder Zustimmung.

Oder es wird allgemein darauf verwiesen, dass die Nutzungsbestimmungen der jeweiligen Software (EULA) oder Webseite einzuhalten seien. "Und dort verbieten Sie genau das, was Sie die Hacker nun bitten, zu tun", so Elazari, "Schutzbestimmungen, die [ehrlichen Teilnehmern] das Eindringen in die Systeme gestatten, sind entweder halbherzig oder nicht existent. […] Wenn Sie ihnen keinen Schutz gewähren, ermöglichen Sie den Hackern nicht, die Gesetze zu befolgen!"

Positive Beispiele hat Elazari nur bei Airbnb, Tesla und dem US-Verteidigungsministerium gefunden. Und wirklich vorbildlich seien einzig die neuen Bestimmungen des chinesischen Drohnenherstellers DJI. Aber deren Text abzuschreiben sei nicht ratsam, da jedes Bounty-Programm seine Eigenheiten habe.

Mehr Infos

Die aktuelle Version der Teilnahmebedingungen DJIs sind auch erst nach einem Skandal entstanden: Der Sicherheitsforscher Kevin Finisterre hatte eine schwerwiegende Datenschutzlücke gemeldet. DJI wollte zwar die Belohnung ausschütten, Finisterre aber auf Dauer zum Schweigen verpflichten. In den Verhandlungen drohten die Chinesen dem Sicherheitsforscher mit dem Computer Fraud and Abuse Act. Das kam in der Szene gar nicht gut an. Die Aufregung war groß, DJI macht einen Rückzieher, und legte in der Folge sein Bug-Bounty-Programm neu auf.

"Für keinerlei Eindringen in oder Attacken gegen irgendein Alibaba-System wird Lizenz oder Genehmigung erteilt", heißt es grau auf weiß in Großbuchstaben bei Alibaba. Das ist nicht anderes als eine Verhöhnung der Bug-Bounty-Idee.

(Bild: Screenshot )

Den Sicherheitsabteilungen gab Elazari noch einen praktischen Rat mit auf den Weg: "Wenn Sie mit Ihren Anwälten sprechen, erklären Sie ihnen, was ein Bug-Bounty-Programm ist, und welche Sicherheitstechniken dabei angewendet werden müssen." Wenn es am Ende immer noch keine Schutzbestimmungen für Hacker gäbe, sollten Hacker nicht teilnehmen, Unternehmen das Programm gar nicht erst starten, und Bug-Bounty-Plattformen die jeweilige Bug Bounty nicht bewerben.

Bei den Teilnehmern der Usenix Enigma kamen Elazaris harte Worte gut an. Mehrere Teilnehmer erzählten von internen Schwierigkeiten mit der Rechtsabteilung, und bei einigen großen Firmen sollen Überarbeitungen bereits in Arbeit sein. Und dabei muss gar nicht die Suche nach Sicherheitslücken im Vordergrund stehen: "Für uns war die Bug Bounty zu 95 Prozent dazu vorgesehen, eine Beziehung zur Community aufzubauen, und zu fünf Prozent dazu, Bugs [gemeldet] zu bekommen", sagte die Leiterin der IT-Sicherheit eines Unterhaltungskonzerns. Ohne Knastgefahr würde auch das mit der Community klarerweise besser klappen.

Usenix Enigma ist eine jährliche Konferenz, die sich mit gegenwärtigen und sich anbahnenden Bedrohungen an der Schnittstelle von Gesellschaft und Technik befasst. Sie fand diese Woche mit gut 400 Teilnehmern im kalifornischen Santa Clara statt. Es ist die dritte Auflage der Veranstaltung. (ds)