Tesla will kaputt gespielte Autos von Hackern reparieren – garantiert
Hacker, die bei der Suche nach Bugs einen Tesla beschädigen, bekommen Hilfe. Auch erlischt die Garantie nicht länger und Sicherheitssoftware wird Open Source.
Tesla hat die Kritik der US-Juristin Amit Elazari (Bild) angenommen, dass die Teilnahmebedingungen von Bug Bounties vieler US-Unternehmen die Sicherheitsforscher mit einem Bein in den Knast bringen würden. Künftig ist nicht nur Hacken erlaubt, auch die Garantie bleibt erhalten und Tesla will bei Defekten helfen.
(Bild: Daniel AJ Sokolov)
Der Autohersteller Tesla will Hacker künftig bei notwendigen Reparaturen unterstützen, die bei der Suche nach Sicherheitslücken entstanden sind. Außerdem führt rechtschaffenes Hacken nicht mehr zum Erlöschen der Garantie und Sicherheitsforscher müssen nicht mehr damit rechnen, wegen ihrer Tätigkeit angeklagt zu werden.
Diese und weitere Verbesserungen hat der Autobauer im Rahmen der Sicherheitskonferenz Defcon in Las Vegas bekanntgegeben. Durch die Änderung in den Bestimmungen für das Suchen und verantwortungsbewusste Melden von Sicherheitslücken reagiert Tesla auf die Kritik der US-Juristin Amit Elazari Bar On, dass viele Bug-Bounty-Programme Hacker nicht vor Strafverfolgung schützen würden. Vielmehr würden die einschlägigen Regeln vieler US-Unternehmen die Sicherheitsforscher mit einem Bein ins Gefängnis bringen. Elazari bezeichnete Teslas Schritt als "nie dagewesene Veränderung".
Tatsächlich dürften solch freundliche Garantiebestimmungen selten ein. Außerdem berichtete Tesla-Chef Elon Musk von seinem Plan, Sicherheitssoftware von Tesla-Autos als Open Source zu veröffentlichen. Das sei "sehr wichtig für eine sichere Zukunft selbstfahrender (Fahrzeuge) für alle", wie der Manager auf Twitter sagte.
Gefährliche Falle bei vielen Bug Bountys
Bei einer Bug Bounty werden Belohnungen für das Aufspüren und verantwortungsvolle Melden von Sicherheitslücken ausgelobt. Der Betreiber der Bug Bounty möchte also ausdrücklich, dass seine Produkte von freundlichen Hackern abgeklopft und auf die Probe gestellt werden. Die Belohnung ist zudem ein Anreiz, die gefundenen Lücken nicht auf dem Schwarzmarkt feilzubieten.
Leider ist das Kleingedruckte aber häufig so widersinnig – um nicht zu sagen hinterhältig – formuliert, dass die Teilnehmer vieler Bug Bountys kriminell werden. Zwei wichtige US-Bundesgesetze, das Computer Fraud and Abuse Act (CFAA) und das Copyright-Gesetz DMCA, verfolgen Hacker sowohl zivilrechtlich als auch strafrechtlich, sofern ihr Handeln nicht "autorisiert" war. Und anstatt eine ausdrückliche Autorisierung auszusprechen, betonen die Teilnahmebedingungen regelmäßig, dass alle Gesetze sowie die allgemeinen Bedingungen der Softwarelizenz einzuhalten seien, die wiederum in aller Regel ein Hack-Verbot enthalten.
Tesla geht mit gutem Beispiel voran
Daher warnt Elazari potenzielle Hacker und fordert Bug-Bounty-Betreiber auf, ihre Bedingungen zu reformieren. "Ich habe hunderte Teilnahmebedingungen von Bug-Bounty-Plattformen und -Programmen gelesen", sagte Elazari auf der Konferenz Usenix Enigma im Januar diesen Jahres, "Warum attackieren wir immer noch freundliche Hacker anstatt ihnen dabei zu helfen, uns zu helfen?"
Fortschritte gibt es, etwa Verbesserungen bei den Bug Bountys Twitters oder des Drohnenherstellers DJI, doch geht der Wandel enttäuschend langsam vonstatten. Mit der Einbeziehung der Garantiebestimmungen hat Tesla die Latte nun höher gelegt.
- Lesen Sie dazu bei heise security: US-Bug-Bountys lassen "gute" Hacker in die Falle tappen
(ds)
