l+f: Die Bundeswehr will gehackt werden - für lau
Sicherheitsforscher gesucht: Eine richtige Belohnung gibt es aber nicht.
Die Bundeswehr hat ein Vulnerability-Disclosure-Programm ausgeschrieben und ruft Sicherheitsforscher dazu auf, ihre IT-Systeme zu malträtieren. Gefundene Lücken sollen die Sicherheitsforscher umgehend an die Bundeswehr melden, damit diese die Schwachstellen schließen kann.
"Hey guck mal: Ich habe die Bundeswehr gehackt - lol"
Eine gängige Taktik, mit der auch Unternehmen wie Apple, Nintendo & Co. ihre Online-Services sicherer machen – mit einem großen Unterschied: Die genannten Firmen zahlen Sicherheitsforschern für gefundene Lücken, je nach Schweregrad, Belohnungen in Höhe von teilweise fünfstelligen Beträgen. Das nennt sich Bug-Bounty-Programm. Bei der Bundeswehr gibt es hingegen keine Geldprämie, sondern nur einen Namenseintrag auf einer Dankesseite.
Diese Art und Weise mutet vor der Aussage in einem Interview zum Vulnerability-Disclosure-Programm "Wir setzen auf das Wissen und die Hilfe der Cybercommunity für ein sicheres Internet in Deutschland und Europa." seltsam an und lässt Zweifel an der Wertschätzung der Sicherheitsforscher aufkommen. Schließlich investieren diese jede Menge Hirnschmalz und Zeit, um die Systeme von anderen sicherer zu machen. Motivation geht anders.
(des)
