Crowd-Plattformen für Suche nach Bugs wollen mehr Rechtssicherheit

HackerOne und Bugcrowd vermitteln zwischen IT-Experten und Unternehmen, die sichere Software wollen. Ein Problem ist mögliche Strafverfolgung.

In Pocket speichern vorlesen Druckansicht
Crowd-Plattformen für Suche nach Software-Lücken wollen mehr Rechtssicherheit

(Bild: "educated bug" / Kari Haley / cc-by-2.0)

Lesezeit: 2 Min.
Von
  • Sascha Mattke

Gute Hacker können viel Geld verdienen, indem sie gefundene Software-Sicherheitslücken nicht etwa ausnutzen, sondern gegen Belohnung an die betroffenen Unternehmen melden. Mittlerweile gibt es mehrere Crowdsourcing-Plattformen für IT-Sicherheit, die sich auf spezialisiert haben, zwischen beiden Seiten zu vermitteln. Allerdings besteht dabei stets die Gefahr, dass die eigentlich im Interesse der Unternehmen arbeitenden freien Hacker gegen Gesetze verstoßen und so letztlich vor Gericht enden. Das soll sich ändern, berichtet Technology Review online in Lücken suchen mit der Crowd.

Richard Rushing, Chief Information Security Officer beim Smartphone-Hersteller Motorola Mobility, bezeichnet sich als großen Freund von Lücken-Suche per Crowdsourcing. Denn dadurch werde Programm-Code ständig von vielen Augen begutachtet. Die freiberuflichen Jäger würden Software-Probleme stets rasch melden, um ihren Konkurrenten zuvorzukommen. Zudem sagen Experten voraus, dass bis zum Jahr 2012 weltweit 3,5 Millionen Stellen im Bereich Cybersicherheit nicht besetzt werden können, weil es nicht genügend Fachkräfte dafür gibt. Freiberufler können vor diesem Hintergrund interne Teams unterstützen.

An der juristischen Front setzen sich die Plattformen dafür ein, dass mehr "sicherer Hafen"-Regelungen in die Verträge für Lücken-Sucher aufgenommen werden. Das Ziel dabei ist, so erklärt Adam Bacchus von HackerOne, dass Unternehmen deutlich machen, dass Hacker nicht vor Gericht enden werden, wenn sie die vereinbarten Regeln beachten. Der Konkurrent Bugcrowd wiederum hat zusammen mit der Juristin Amit Elazari die Initiative disclose.io gestartet, die einen standardisierten Rahmen für das Finden und Melden von Lücken entwickeln soll. Ziel ist eine explizite Erlaubnis für Techniken, die normalerweise eine klare Verletzung von Anti-Hacking-Gesetzen darstellen würden.

Mehr dazu bei Technology Review online:

(sma)