Lücken suchen mit der Crowd
Gute Hacker können viel Geld verdienen, indem sie gefundene Sicherheitslücken nicht etwa ausnutzen, sondern gegen Belohnung an die betroffenen Unternehmen melden. Mehrere Plattformen dafür werden immer professioneller.
(Bild: "educated bug" / Kari Haley / cc-by-2.0)
- Martin Giles
Sie sind die Ubers in der Welt der digitalen Sicherheit: Statt wie der Mitfahr-Dienst unabhängig arbeitende Fahrer mit Passagieren zusammenzubringen, verbinden Unternehmen wie Bugcrowd oder HackerOne Menschen, die gern nach Fehlern in Software suchen, mit Unternehmen, die bereit sind, für gefundene Fehler zu bezahlen.
Diese Gig-Economy für Cybersicherheit umfasst inzwischen hunderttausende Hacker, von denen viele Erfahrungen in der IT-Sicherheitsbranche haben. In einer Zeit, in der die Zahl der Angriffe rapide zunimmt und die Kosten für eigene Sicherheitsteam explodieren, spielen sie eine bedeutende Rolle dabei, Programme sicherer zu machen.
Die Besten verdienen viel
Die besten freiberuflichen Lücken-Sucher können viel Geld verdienen. HackerOne mit seinen mehr als 200.000 registrierten Nutzern gibt an, dass 12 Prozent davon 20.000 Dollar oder mehr pro Jahr kassieren, etwa 3 Prozent mehr als 100.000 Dollar. Die Hacker auf diesen Plattformen stammen meist aus den USA oder Europa, aber auch aus anderen Ländern, in denen die bezahlten Prämien so viel wert sind, dass aus der Suche eine Vollzeitbeschäftigung wird.
Richard Rushing, Chief Information Security Officer beim Smartphone-Hersteller Motorola Mobility, bezeichnet sich als großen Freund von Lücken-Suche per Crowdsourcing. Denn dadurch werde Programm-Code ständig von vielen Augen begutachtet, und die freiberuflichen Jäger würden Software-Probleme stets rasch melden, um ihren Konkurrenten zuvorzukommen.
Zudem sagen Experten voraus, dass bis zum Jahr 2012 weltweit 3,5 Millionen Stellen im Bereich Cybersicherheit nicht besetzt werden können, weil es nicht genügend Fachkräfte dafür gibt. Freiberufler können vor diesem Hintergrund interne Teams unterstützen.
Rechtliche Probleme – und Konkurrenz
Trotzdem haben die Plattformen erhebliche Probleme. Eines davon besteht darin, einen Pool von talentierten Lücken-Suchern zu bewahren. Außerdem müssen sie mehr rechtliche Klarheit darüber schaffen, welche Werkzeuge und Techniken ethische Hacker einsetzen dürfen. Beliebte Vorgehensweisen wie so genannte Injection Attacks, bei denen zusätzlicher Code in Anwendungen eingeschleust wird, können unter Umständen zu einer Strafverfolgung nach Gesetzen wie dem Computer Fraud and Abuse Act in den USA führen.
Um genügend Talente zu finden, veröffentlichen die Crowdsourcing-Plattformen mittlerweile deutlich mehr Informationen, die Hackern dabei helfen sollen, ihre Fähigkeiten auszubauen. Bugcrowd hat vor kurzem die
Bugcrowd University eröffnet, die kostenlose Web-Seminare und Handbücher anbietet, unter anderem zu einem grafischen Werkzeug namens Burp Suite, mit dem sich die Sicherheit von Web-Anwendungen testen lässt
Außerdem arbeitet die Plattform mit erfahrenen ethischen Hackern daran, viel versprechende freie Mitarbeiter zu erkennen und zu schulen. Die besten Kandidaten sind neugierig, hartnäckig und bereit, sich schnell anzupassen. „Die Technologie entwickelt sich so schnell weiter, dass es oft schwierig ist, auf dem Laufenden zu bleiben“, sagt Philip Wylie, Talent-Sucher von Bugcrowd in Dallas.
Standardisierter Rahmen für die Fehlerjagd
An der juristischen Front setzen sich die Plattformen dafür ein, dass mehr „sicherer Hafen“-Regelungen in die Verträge für Lücken-Sucher aufgenommen werden. Das Ziel dabei ist, so erklärt Adam Bacchus von HackerOne, dass Unternehmen deutlich machen, dass Hacker nicht vor Gericht enden werden, wenn sie die vereinbarten Regeln beachten.
Zusammen mit Amit Elazari, einem Sicherheitsforscher, dessen Arbeit gezeigt hat, wie wichtig solche Zusicherungen sind, hat Bugcrowd die Initiative disclose.io gestartet, die einen standardisierten Rahmen für das Finden und Melden von Lücken entwickeln soll. Damit gäbe es eine explizite Erlaubnis für Techniken, die normalerweise eine klare Verletzung von Anti-Hacking-Gesetzen darstellen würden.
Darüber hinaus laufen in den USA breiter angelegte Initiativen von Organisationen wie der Electronic Frontier Foundation. Sie wollen Unternehmen allgemein davon abbringen, Gesetze wie den CFAA zu nutzen, um Forscher zum Schweigen zu bringen, die gravierende Software-Fehler finden und auf verantwortungsbewusste Weise offenlegen.
(sma)
