c't-Podcast: Sie blickt in die Abgründe des Internets

Die CDU hat sie einst angezeigt, im Netz gilt sie als "Krawall-Influencerin" – und Unternehmen bekommen Angst, wenn sie sehen, dass sie von ihr auf LinkedIn besucht wurden: Die Sicherheitsforscherin Lilith Wittmann findet jede Sicherheitslücke und jedes Datenleck und veröffentlicht schonungslos, wer verantwortlich ist und was alles hätte schiefgehen können. Neben einer großen Fan-Gemeinde hat sie erbitterte Kritiker und Kritikerinnen, die ihr vorwerfen, nicht immer verantwortungsvoll mit ihren Erkenntnissen umzugehen.

Aber wie genau geht eigentlich verantwortungsvolles Veröffentlichen von Sicherheitslücken? Welche Fallen stellen sich – und in welche Abgründe hat die Sicherheitsforscherin schon im Netz geblickt? Darüber spricht sie im neuen c't-Podcast "Frauen und Technik" mit den beiden Tech-Journalistinnen Svea Eckert und Eva Wolfangel unter anderem anhand einer Recherche, die die drei gemeinsam durchgeführt haben: den sogenannten Knast-Leaks. Dabei fanden sich persönlichste Daten tausender aktuell und ehemalig Inhaftierter offen im Netz – weil ein Anbieter von Knast-Telefonie verpasst hatte, die Daten zu sichern. Der Hersteller sei "absolut verantwortungslos mit den Daten einer sehr vulnerablen Gruppe" umgegangen, "die nicht einmal die Wahl hat, ob sie den Dienst nutzen wollen", sagt Wittmann im Podcast.

Lilith Wittmann berichtet, wie sie überhaupt die Idee bekommt, welche Systeme und Webseiten sie genauer unter die Lupe nimmt – in diesem Fall interessierte sie sich schon länger für den Umgang mit Inhaftierten, und als sie das System an einem Wochenende genauer unter die Lupe genommen habe, "habe ich da tatsächlich einige Sachen komisch gefunden". Beispielsweise eine aus ihrer Sicht zu kurze Identifikationsnummer für Inhaftierte, die Angreifer mit einem sogenannten Brute-Force-Angriff in kurzer Zeit berechnen können. Aber bei Lilith Wittmann genügte – wie so oft – ein kurzer Blick und ein paar Abfragen, um die wahre Dimension des Problems zu verstehen. Wenige Stunden später hatte sie zehntausende Verbindungsdaten von Inhaftierten – mit Anrufen zu Therapeuten, Pflege-Eltern, Telefonseelsorge, Rechtsanwältinnen und vielem mehr. "Das war erschütternd", sagt Wittmann. Es sei schockierend gewesen, "weil ich auch nicht gedacht hätte, dass das in der Granularität überhaupt erfasst wird, oder warum es eigentlich erfasst wird".

Zudem sei der Anbieter "super unmoralisch damit umgegangen". Dieser hatte nämlich nicht nur sensible Daten ungeschützt ins Netz gestellt, sondern zunächst auch nicht auf Anfragen unter anderem der Journalistinnen Wolfangel und Eckert reagiert. Diese hatte Lilith Wittmann direkt informiert, nachdem sie die Lücke gefunden und dokumentiert hatte. Aber ist das noch Responsible Disclosure? Der Begriff aus dem Bereich des ethischen Hackings bezeichnet ein Vorgehen, bei dem Sicherheitslücken erst dann veröffentlicht werden, wenn der Hersteller informiert wurde und diese geschlossen hat. Ist es überhaupt ethisch vertretbar, die Medien zu informieren, bevor die Lücke geschlossen ist?

Im Podcast diskutieren Wittmann und die beiden Tech-Journalistinnen, wie sie in diesem Fall vorgegangen sind und wieso es hilfreich sein kann für eine unabhängige Stelle wie seriöse Medien, Sicherheitslücken selbst nachvollziehen zu können. Schließlich ist deren Aufgabe auch die Verifikation entsprechender Berichte von Sicherheitsforscherinnen wie Wittmann sowie eine Abschätzung der gesellschaftlichen Implikationen. Das geht oft nicht mehr, wenn die Lücken bereits geschlossen sind und Hersteller deren Dimension abstreiten. "Das passiert ständig, dass Unternehmen versuchen, die Details zu verdrehen", sagt Wittmann im Podcast.

In der Tat geschah dies in diesem Fall auch, nämlich im Fall von Audio-Dateien, die Wittmann ebenfalls im Leak fand. Bei diesen handelte es sich mutmaßlich um Aufzeichnungen abgehörter Telefonate von Inhaftierten. Aus ethischen und legalen Gründen verzichtete sowohl Wittmann als auch die beiden Journalistinnen darauf, diese zu öffnen. Mit dem "Erfolg", dass der Hersteller der unsicheren Software dies abstreiten konnte.

Aus dem gleichen Grund stimmt sich Wittmann auch meist nicht mit Herstellern über den Veröffentlichungsprozess ab – auch wenn das manche in Zusammenhang mit Responsible Disclosure fordern. "Ich mache das nicht für Unternehmen, sondern für die Menschen", sagt sie im Podcast, "deshalb gehe ich raus, sobald eine Lücke für mich nachvollziehbar geschlossen ist, aber bevor das Krisen-PR-Team alles verdreht." Dazu gehört auch, dass sie sich manchmal sogar für eine Veröffentlichung entscheidet, bevor eine Lücke geschlossen ist – wenn dadurch Unbeteiligten kein Schaden entsteht.

"Responsible Disclosure ist in meinem Methodenkasten als Sicherheitsforscherin nur ein Weg", sagt Wittmann. Natürlich treffe sie immer eine Güterabwägung. "Mein Ziel ist, dass nicht der Anbieter die Hoheit über die Kommunikation hat."

Das entscheide sie natürlich nicht alleine, sondern stets mit rechtlicher Beratung: "Mittlerweile sitzt bei jeder Sicherheitslücke ein Datenschutzexperte und oft auch ein Strafrechtler mit am Tisch, bevor ich entscheide, wie ich das melde und wie ich das veröffentliche. Das beruht auch auf vergangenen Erfahrungen." Eine dieser Erfahrungen ist eine Anzeige der CDU, nachdem sie Lücken in deren Wahlkampf-App veröffentlicht hatte. Nach dieser Anzeige hatte der CCC angekündigt, in solchen Fällen möglicherweise künftig auf Responsible Disclosure zu verzichten.

Lilith Wittmann erzählt im Podcast auch, was sie sonst so macht, wie sie als Projektleiterin oft für die Praktikantin gehalten wird, wieso sie Arbeitgeber mit weiblichen Führungskräften bevorzugt und wieso sie froh ist, beruflich nicht nach Sicherheitslücken zu suchen: "Weil ich dann nicht da sitze, wo auf der anderen Seite ich sitzen würde." Denn, das gibt sie ganz offen zu, auch wenn sie beruflich eher im Projektmanagement und im Bereich User Experience arbeitet, habe es die IT-Sicherheitsabteilung nicht immer leicht mit ihr. "Da hilft natürlich auch, dass ich mich in meiner Freizeit mit der anderen Seite beschäftige, nämlich wie ich so ein System zerlege."

• Hier können Sie den Podcast abonnieren.

(mond)