Bugtraq würde 30: Eine Mailingliste veränderte die IT-Sicherheitswelt
Vor etwa 30 Jahren entstand eine der einflussreichsten Quellen für Sicherheits-Neuigkeiten. BugTraq wurde 2021 eingestellt.
Fast auf den Tag genau vor 30 Jahren, am 5. November 1993, gründete Scott Chasin eine Mailingliste für IT-Security und nannte sie "BugTraq". Chasin, der damals als Sicherheitsverantwortlicher bei einer Öl- und Gasfirma arbeitete, wollte einen Gegenimpuls zur unterentwickelten IT-Sicherheits-Infrastruktur im rapide wachsenden Internet setzen. BugTraq setzte von Beginn an auf "Full Disclosure", also die detaillierte und frühzeitige Veröffentlichung von Sicherheitslücken. Die Liste entwickelte sich rasch zum Leitmedium für die noch junge Gemeinschaft der Sicherheitsforscher im Internet.
In den ersten Jahren war die BugTraq-Liste unmoderiert, was sich im Jahr 1995 bei mehr als zweitausend Abonnenten als unpraktisch erwies. Elias Levy alias "Aleph One", der Gründer der Sicherheitsfirma SecurityFocus, moderierte die Liste fünf Jahre lang, bis er sie mitsamt seiner Firma an Symantec verkaufte. Teils aus Frust gegen die als zu rigide und langsam empfundene Moderation, teils aus Protest gegen die als Ausverkauf empfundene Übernahme gründete sich im Jahr 2002 ein nicht weniger bekannter Ableger, die Mailingliste "Full Disclosure". Fortan koexistierten beide Listen friedlich: Wer etwas weniger Lesestoff im Postfach wünschte, abonnierte BugTraq – Sicherheitsexperten mit hohem Anspruch an Aktualität und Ausdauer beim Lesen hielten sich an Full-Disclosure.
So wie BugTraq in der Frühzeit des Internets für den Gedanken der tatkräftigen Community stand, die Probleme gemeinsam anging, wurde das Ende der Mailingliste zum Sinnbild für den wachsenden Einfluss der Finanzinvestoren. Kurz bevor Symantec – die im Jahr zuvor ihrerseits von Broadcom gekauft worden waren – im Frühjahr 2020 den Verkauf ihrer Cyber-Security-Sparte an die Unternehmensberatung Accenture verkündeten, erschienen keine neuen Beiträge mehr auf der Liste. Die Moderatoren gaben schlicht keine Meldungen mehr frei. Der neue Eigentümer verkündete dann im Januar 2021 das Ende der Mailingliste. Nach einem Aufschrei der Community ruderte Accenture kurzzeitig zurück und verkündete in einem mittlerweile gelöschten Blogeintrag, man wolle die Liste weiterbetreiben. Es sollte die letzte Nachricht auf BugTraq bleiben.
Aus der Zeit gefallen
Der Einfluss, den BugTraq auf die Security-Szene ausübte, war groß. Die Liste zementierte die bis heute bestehende Praxis der "Vulnerability Disclosure": Zunächst habe man den Hersteller zu informieren und nach einer angemessenen Reaktionsfrist die Öffentlichkeit, legte der Gründer in der Listen-Charta fest. Diese Praxis war auch in den frühen 2000ern nicht unumstritten.
Mittlerweile betreiben viele Hersteller Belohnungsprogramme und zahlen hohe "Bug Bounties" für Sicherheitlsücken – deren Entdecker im Gegenzug ihre Veröffentlichungsrechte abtreten. Auch deswegen ist die bis heute überlebende Mailingliste "Full Disclosure" nur noch ein Schatten ihrer selbst: Von den über Tausend E-Mails, die sie zu ihren Hochzeiten monatlich in die Postfächer spülte, ist nur noch ein Bruchteil geblieben. So wirken Mailinglisten mittlerweile etwas aus der Zeit gefallen – zu groß ist die Konkurrenz von X, Mastodon und Bug-Bounty-Programmen.
(cku)