Anfang August wies eine Hackerin die CDU auf eine Sicherheitslücke in deren Wahlkampf-App hin – die Partei reagierte, indem sie die Hackerin anzeigte.
Inzwischen ist die Anzeige wieder zurückgezogen, aber der Fall veranschaulicht ein grundsätzliches Problem: Die Bedeutung von White-Hat-Hacking für die IT-Sicherheit ist noch nicht überall angekommen.
Sicherheits-Schwachstellen in Programmen und Apps können oft sehr lange unentdeckt bleiben und richten keinerlei Schaden an. Im schlimmsten Fall jedoch entdecken Cyberkriminelle sie und nutzen sie unbemerkt aus. Oder sie werden von vordergründig legitimen Herstellern von Spionagesoftware entdeckt, die diese aber an Regimes zur Spionage deren Bürger*innen verkaufen.
So werden zum Teil spektakuläre Angriffe möglich, wie im Juli 2021 die Ransomware-Attacke auf den IT-Dienstleister Kaseya oder die im selben Monat bekannt gewordenen Pegasus-Angriffe auf Journalist*innen und Menschenrechtsaktivist*innen, die ebenfalls "Zero Days" anderer Programme ausnutzten. Das kann verheerende wirtschaftliche Folgen für Unternehmen und Nutzer*innen haben. Die jüngste Hacking-Diskussion beschäftigt sich mit der App "CDU connect", einer parteiinternen Plattform zur Koordination des Wahlkampfes (netzpolitik.org berichtete).
Der Fall ist ein regelrechter Alptraum für den Datenschutz: Die von der Hackerin identifizierte Schwachstelle hätte Kriminellen den Zugang zu hochsensiblen Daten von fast 20.000 aktiven oder potenziellen Wahlhelfer*innen geboten, darunter E-Mail- und Postadressen, Fotos und Facebook-Profile. Eine Person mit unlauteren Absichten hätte erheblichen Schaden für die betroffenen Personen anrichten können – von der CDU insgesamt ganz zu schweigen.
Mit ihrem Hinweis an die Partei handelte die Hackerin im Sinne der „Responsible Disclosure“ (auf Deutsch etwa „verantwortungsvolle Bekanntgabe“). Dabei handelt es sich um eine Regel in der Softwarebranche: Entdecken Hacker*innen Sicherheitslücken in einer Software, machen sie die Entwickler*innen auf diese aufmerksam. Die bekommen so die Gelegenheit, ihre Software sicherer zu machen. Im Gegenzug wird erst dann öffentlich über die Lücke gesprochen, wenn sie geschlossen ist – oder, falls das nicht passiert, nach Ablauf von 90 Tagen. So erfährt die Öffentlichkeit von Sicherheitsrisiken und kann informierte Entscheidungen treffen.
White-Hats sind die "Guten"
Sind Hacker*innen also die "Guten"? Was Unkundigen auf den ersten Blick befremdlich erscheint, ist tatsächlich eines der wichtigsten Prinzipien der Cybersicherheit. Durch die Zusammenarbeit mit "guten" Hackern, sogenannten White-Hats, werden Sicherheitslücken erkannt und behoben. Damit das funktioniert, müssen Unternehmen den White-Hats jedoch entgegenkommen, indem sie sogenannte Vulnerability Disclosure-Programme aufsetzen.
Neben grundsätzlicher Offenheit gehören dazu einfache und sichere Wege, über Risiken zu berichten, zum Beispiel mittels einer für diesen Zweck angelegten E-Mail-Adresse. Unternehmen können auch einen Schritt weiter gehen und ein Bug-Bounty-Programm einrichten, innerhalb derer Hacker*innen für ihre Meldungen bezahlt werden.
Das Wichtigste ist jedoch, sichere Codes zu entwickeln, diese proaktiv zu scannen und die eigene Infrastruktur zu schützen, um Attacken von Anfang an vorzubeugen. Die Zusammenarbeit mit White-Hats ergänzt diese Sicherheitsmaßnahmen. Wenn sie eingehalten werden, kommen Programme wie die betroffene CDU-App im besten Fall erst dann in Umlauf, wenn derartige Sicherheitslücken behoben sind.
Interessiert an mehr News von uns? Folgen Sie uns auf Facebook und auf Twitter!