Wer sein Haus vor Einbrechern schützen möchte, fragt am besten einen Einbrecher, wo die Schwachstellen sind. Nach diesem Konzept gehen heute immer mehr Unternehmen und Verwaltungen vor, um IT-Systeme, Software und Hardware vor Hackerangriffen zu schützen. Sie engagieren diejenigen, die sich auskennen. Passwörter knacken, Zugangslücken finden, Systeme übernehmen oder lahmlegen – wer versteht besser, wie das geht, als ein Hacker?
Ethische Hacker bieten ihr Wissen an
Die Wunderwaffen im Kampf um mehr Cybersecurity werden ethische Hacker genannt. Sie verkaufen ihr Wissen um Sicherheitsmängel nicht an Kriminelle, sondern an die Betroffenen. Ihre Dienste sind gefragt. Zahlreiche Unternehmen beschäftigen sie hochbezahlt, um verwundbare Lücken in der IT-Sicherheitsarchitektur zu finden. Die größte europäische Hackervereinigung – der Chaos Computer Club (CCC) – berät sogar regelmäßig die Bundesregierung.
Lücken entdecken und schließen
Die Bezeichnung für die „guten Hacker“ basiert auf ihrer regelrechten Standesethik. Der Chaos Computer Club (CCC) hat diese auf seiner Website verschriftlicht. Ein zentraler Aspekt nennt sich Reponsive Disclosure: Entdeckte Sicherheitslücken werden den betroffenen Unternehmen oder Verwaltungen gemeldet. Publik gemacht werden sie jedoch erst, wenn der Betroffene die Gelegenheit hatte, die Lücken zu schließen. So verhielt sich auch CCC-Mitglied Lilith Wittmann, als sie ein Datenleck in einer App fand, mit der die Partei der Christlich Demokratischen Union (CDU) Wahlhelfer koordinierte.
Der Chaos Computer Club gibt bei Youtube eine kurze Einführung in die Hackerethik:
Öffentliche Daten nützen, private Daten schützen
Wittmann meldete das Problem an die CDU, das BSI und an den Berliner Datenschutzbeauftragten. Das tat sie unbezahlt und unbeauftragt – einem weiteren Grundsatz der CCC-Hackerethik folgend: „Öffentliche Daten nützen, private Daten schützen.“ Diese Regel soll den Schutz der Privatsphäre mit der Förderung von Informationsfreiheit für öffentlich relevante Informationen verbinden. Die unsichere App wurde vom Server genommen und sicher gemacht.
Im Namen des Gesetzes?
Statt eines Dankeschöns flatterte Lilith Wittmann allerdings ein Strafantrag ins Haus. Rechtsgrundlage: Der „Hackerparagraph“ 202 c Strafgesetzbuch. Danach macht sich jeder durch das „Vorbereiten des Ausspähens und Abfangens von Daten“ strafbar. Sogar, wenn er im Auftrag oder im Sinne des Besitzers handelt.
Um diese rechtliche Grauzone zu beseitigen, gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) inzwischen Leitfäden zur rechtssicheren Durchführung sogenannter Penetrationstests heraus. Mit solchen Tests werden Angriffe auf Systeme und Software unter realen Bedingungen durchgeführt – was ansonsten strafbar wäre. Im Fall Lilith Wittmann zog die CDU die Anzeige übrigens wieder zurück.
Lagebericht des BSI zur IT-Sicherheit in Deutschland
Die Dienste ethischer Hacker sind sehr gefragt. Denn der aktuelle Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zeigt eine besorgniserregende Zunahme der Sicherheitsvorfälle und die rasante Entwicklung neuer und angepasster Angriffsmethoden.
Lahmgelegte Krankenhäuser, wochenlang nahezu handlungsunfähige öffentliche Verwaltungen – Datendiebstahl oder Lösegelderpressung gehören mittlerweile zum Standardrepertoire digitaler Bedrohungen.
Die besseren Hacker gewinnen
Kriminelle Hackerangriffe richten sich vermehrt auch gegen kritische Infrastrukturen wie Strom- oder Wasserversorgung. Das BSI übermittelte 2020 mit 14,8 Millionen Meldungen doppelt so viele Schadprogramm-Infektionen an deutsche Netzbetreiber wie im Jahr zuvor. In diesem Bedrohungsszenario ist die einzige Chance für mehr IT-Sicherheit, Sicherheitslücken vor den Kriminellen zu entdecken und zu schließen. Es zählt wohl zu den Widersprüchen der IT-Welt, dass dies ausgerechnet diejenigen am besten können, die man am meisten fürchtet.
(Text: Fabian Baumheuer)
Mehr Input
- Lilith Wittmann und der CDU-Hack
Homepage von Lilith Wittmann - Die wichtigsten Cybersecurity-Statistiken für 2021
Blog der WirtschaftsWoche - Gerichtsurteil zur Offenlegung von Softwarelücken
Heise.de - Rechtslage der IT-Sicherheitsforschung
sec4research.de - Programmierer entdeckt Datenleck und erhält Anzeige
Golem.de - Ethischer Hacker beim Identitätscheck im Web
t3n.de - Hackerparagrafen und die Sicherheitsforschung
Netzpolitik.org