Mårten Mickos hatte im Silicon Valley bisher einen tadellosen Ruf. Seit der Finne vor 13 Jahren nach Kalifornien kam, hat er den Datenbankspezialisten MySQL florieren lassen und für eine Milliarde Dollar an Sun Microsystems verkauft, den Cloud-Spezialisten Eucalyptus geleitet und dessen Kauf durch Hewlett-Packard (HP) eingefädelt. Da verwundert es nicht weiter, dass der 53-Jährige in der Branche durch seinen jüngsten Karriereschritt Irritation auslöste: den Wechsel in die Grauwelt des Internets.
Seit Ende 2015 handelt Mickos mit Sicherheitslücken in Computerprogrammen. Als CEO des Start-ups HackerOne organisiert er für Unternehmen und Behörden Wettbewerbe, bei denen Hacker Schwachstellen in fremden Computersystemen suchen und deren Herstellern die ungewollten Einfallstore melden.
Bug Bounty, zu Deutsch Kopfgeld für Programmfehler, heißen diese Initiativen im Branchenjargon. Ihr Ziel ist, die Weisheit der Masse der weltweiten Softwarespezialisten für die Suche nach Sicherheitslücken zu aktivieren. Zugleich wollen die Organisatoren verhindern, dass die Entdecker ihr Wissen um die Bugs für drei -bis sechsstellige Dollar- oder Euro-Beträge auf dem Schwarzmarkt an Cyberkriminelle verkaufen.
Es ist ein dramatisch wachsendes Problem – speziell für deutsche Unternehmen. Die Digitalisierung aller industriellen Prozesse führt dazu, dass gerade im Land der mittelständischen Konstrukteure immer mehr Unternehmen Software in ihren Produkten nutzen, deren Kerngeschäft bisher nicht Programmierung war. Damit potenziert sich die Bedrohung durch Hacker. Denn nahezu jedes Programm ist ab Werk fehlerhaft.
Moderne Software ist so komplex, dass Programmierer fast zwangsläufig Fehler machen. Schon Windows XP bestand laut Microsoft aus 45 Millionen Codezeilen. Beim aktuellen Windows 10 sollen es bis zu 80 Millionen Zeilen sein. Und je umfangreicher ein Programm ist, desto größer das Risiko, dass es Fehler enthält.
Diese Branchen sind am häufigsten von Computerkriminalität betroffen
Der Branchenverband Bitkom hat Anfang 2015 in 1074 Unternehmen ab 10 Mitarbeitern danach gefragt, ob das jeweilige Unternehmen innerhalb der letzten zwei Jahre von Datendiebstahl, Wirtschaftsspionage oder Sabotage betroffen war. Gut die Hälfte der befragten Unternehmen gaben an, tatsächlich Opfer von IT-gestützter Wirtschaftskriminalität geworden zu sein.
Quelle: Bitkom/Statista
Stand: 2015
Im Handel wurden 52 Prozent der befragten Unternehmen in den vergangenen zwei Jahren Opfer von Cyber-Kriminalität.
58 Prozent der befragten Unternehmen in der Medien- und Kulturbranche gaben an, in den letzten zwei Jahren Computerkriminalität erlebt zu haben. Ebenso viele Unternehmen aus der Gesundheitsbranche klagten über IT-Kriminalität.
Das Finanz- und Versicherungswesen ist ein lohnendes Ziel für Hacker, Wirtschaftsspione und Datendiebe: 60 Prozent der befragten Unternehmen konnten von Datendiebstahl oder ähnlichem während der vergangenen zwei Jahre berichten.
Fast zwei Drittel der Unternehmen der Chemie- und Pharmabranche hatten in den vergangenen zwei Jahren mit Datendiebstahl, Wirtschaftsspionage oder Sabotage zu kämpfen.
Auf Platz 1: Der Automobilbau. 68 Prozent der Autobauer klagten über Wirtschaftskriminalität in Form von Datendiebstahl, Wirtschaftsspionage oder Sabotage.
Die Hackercamps für die Suche nach diesen Fehlern auszurichten war bisher die Domäne weniger, großer IT-Konzerne wie Microsoft, Google und Facebook. Dabei fließen Millionenbeträge (siehe Tabelle Seite 50). Bei Microsoft starten die Prämien für Schwachstellen bei 500 Dollar. Für besonders gefährliche Sicherheitslücken zahlte der Windows-Konzern aber auch schon 100 000 Dollar. Facebook hat seit dem Start seines Fehler-finde-Programms vor fünf Jahren rund fünf Millionen Dollar ausgeschüttet.
Doch den Aufwand kann oder will sich längst nicht jedes Unternehmen leisten. In diese Lücke stoßen nun Start-ups wie HackerOne oder Bugcrowd – als Marktplätze für das Anheuern sogenannter ethischer Hacker, im Fachjargon White-Hat-Hacker genannt. Beide Anbieter machen die organisierte Jagd auf Programmfehler nun zum Geschäftsmodell und damit auch für kleinere Unternehmen nutzbar.
Kunden von Airbnb bis Tesla
34 Millionen Dollar haben die HackerOne-Gründer, die Niederländer Michiel Prins, Jobert Abma, Merijn Terheggen sowie der Amerikaner Alex Rice, einst zuständig für die Produktsicherheit bei Facebook, mit ihrer Geschäftsidee seit 2012 bei Investoren gesammelt. Mit dabei Prominenz wie Salesforce-Gründer Marc Benioff, Yelp-Gründer Jeremy Stoppelman und der Ex-Karstadt-Investor Nicolas Berggruen. Das ebenfalls in San Francisco ansässige Start-up Bugcrowd hat 23 Millionen Dollar Kapital erhalten und arbeitet für Kunden wie Tesla Motors und Pinterest.
Rund 500 Firmen – darunter Netzgrößen wie Twitter, Airbnb oder Square, Industriekunden wie der Autokonzern General Motors und sogar das US-Verteidigungsministerium – nutzen die Dienste von Mickos’ Truppe. „8,2 Millionen Dollar an Prämien haben wir in den vergangenen drei Jahren ausgeschüttet“, sagt der Finne. Monatlich komme rund eine halbe Million Dollar hinzu. HackerOne kassiert als Vermittler 20 Prozent der ausgeschütteten Preise. Den Rahmen des Wettbewerbs stecken die Auftraggeber ab. Sie entscheiden über die Summe und vergeben die Einzelpreise.
Bei einzelnen Hackern summieren sich die Honorare auf bis zu eine halbe Million Dollar. Aktuell höchstbelohnter Teilnehmer ist ein zehnjähriger Finne namens Jani. Er hat einen schweren Sicherheitsfehler in der Foto-App Instagram entdeckt und dafür 10 000 Dollar kassiert. Beim Anmelden für die Bug Bountys muss keiner Alter oder Klarnamen angeben. Preisgeld aber bekommt nur, wer seine Identität offenlegt.
“Datenklau 2015” - Die Ergebnisse im Überblick
Für die Studie “Datenklau 2015” hat die Prüfungs- und Beratungsgesellschaft Ernst & Young Geschäftsführer sowie Führungskräfte aus IT-Sicherheit und Datenschutz von 450 deutschen Unternehmen befragt. Die Befragung wurde im Mai / Juni 2015 vom Marktforschungsinstitut Valid Research durchgeführt.
Quelle: Ernst & Young - Datenklau 2015
Jedes fünfte Unternehmen mit mehr als einer Milliarde Euro Umsatz hat in den vergangenen drei Jahren einen Angriff auf die eigenen Daten bemerkt, zeigt die EY-Studie. 18 Prozent der Betroffenen registrierten sogar mehrere Attacken. Mittlere (ab 50 Millionen Euro Umsatz) und kleinen Unternehmen (bis zu 50 Millionen Euro Umsatz) erlebten seltener Angriffe: 16 beziehungsweise zehn Prozent haben Hinweise auf Spionage oder Datenklau entdeckt.
Nicht nur die Größe entscheidet, wer ins Visier der Hacker gerät. Unternehmen der Energie- (17 Prozent ) und der Finanzbranche (16 Prozent) werden am häufigsten Opfer von Spionage und Datenklau. In der Industrie wurden 15 Prozent der Unternehmen bereits zum Opfer.
In den meisten Fällen (48 Prozent) ließ sich der Täter nicht zuordnen. In 18 Prozent der Fälle konnten laut EY Hackergruppen als Täter identifiziert werden. In 15 Prozent war es ein konkurrierendes ausländisches Unternehmen.
Die größte Gefahr geht aus Sicht der Manager von China aus: “46 Prozent nennen das Land als Region mit dem höchsten Risikopotenzial, dahinter folgen Russland (33 Prozent) und die USA (31 Prozent)”, wertet Ernst & Young aus.
Hinter den Angriffen vermuten die Manager in erster Linie den Versuch an Wettbewerbsvorteile oder finanzielle Vorteile (je 29 Prozent) zu gelangen. Reputationsschädigung (8 Prozent), Racheaktion (6 Prozent) und die Störung des Geschäftsbetriebs (3 Prozent) werden deutlich seltener hinter den Attacken vermutet.
In drei von vier Fällen (74 Prozent) handelte es sich bei den Attacken um Hackerangriffe auf die EDV-Systeme, in 21 Prozent wurden IT-Systeme vorsätzlich lahmgelegt. Deutlich seltener wurden Kunden- oder Arbeitnehmerdaten abgegriffen (elf Prozent), Mitarbeiter abgeworben oder Datenklau durch eigene Mitarbeiter begangen (jeweils zehn Prozent).
HackerOne logiert im 14. Stock eines Hochhauses in San Francisco; als Mieter des Büroanbieters WeWork. Mickos genießt die legere Atmosphäre, hat den Businessdress seiner Exarbeitgeber längst gegen Jeans und T-Shirt getauscht. Obwohl Etagenältester, sticht er optisch kaum noch aus den jungen Leuten um ihn herum heraus, von denen mancher nicht mal halb so alt ist wie er selbst.
Geld für Softwareschwachstellen zu zahlen war in der IT-Branche lange umstritten. Kritiker monierten, Preisgelder würden den Handel mit Programmfehlern zusätzlich anstacheln. Andere hingegen sehen Bounty-Programme als legale Alternative zu Geschäften im Darknet, den dunklen Ecken des Internet. Dort bieten Cyberkriminelle besonders brisante Schwachstellen an, sogenannte Zero Days. Gegen solche Lücken können sich Unternehmen nicht schützen, weil zunächst nur die Hacker sie kennen, die sie gefunden haben.
Millionenzahlungen auf dem Schwarzmarkt
Für einen dieser Zero Days hat die US-Bundespolizei FBI nach Berechnungen der Nachrichtenagentur Reuters im Frühjahr mindestens 1,3 Millionen Dollar gezahlt. Die Schwachstelle in Apples iOS-Betriebssystem ermöglichte es, den Speicher des iPhones eines Terroristen auszulesen. Apple-Chef Tim Cook – lange Zeit ein Gegner von Bug Bountys – hatte sich geweigert, die von der Behörde geforderte Hintertür in die Software zu öffnen. Anfang August nun verkündete Cooks Sicherheitschef Ivan Krstić auf der Sicherheitskonferenz Black Hat in Las Vegas, ebenfalls ein Prämienprogramm einzuführen: Wer Sicherheitslücken in Apples iOS findet, kann bis zu 200 000 Dollar bekommen.
Neue Gefahren für die Industrie 4.0
„Früher oder später werden das alle Unternehmen machen“, ist Silicon-Valley-Wagnisfinanzierer Bill Gurley überzeugt, dessen Unternehmen Benchmark Capital ebenfalls in HackerOne investiert hat.
Zwar werden Bug Bountys primär in den USA ausgeschrieben, doch sie sind keine rein amerikanische Angelegenheit mehr. Auch deutsche Unternehmen wie Nextcloud aus Stuttgart setzen inzwischen auf die Wettbewerbe. Der Speichersoftwareanbieter hat kürzlich mithilfe von HackerOne ein eigenes Bug Bounty gestartet. Wer kritische Sicherheitslücken meldet, dem zahlen die Stuttgarter bis zu 5000 Dollar Prämie.
Schon kurz nach dem Start gab es 255 Hinweise, von denen Nextcloud zehn als relevant eingestuft hat. „In der Anlaufphase ist es zeitaufwendig“, sagt Lukas Reschke, der Sicherheitsverantwortliche bei Nextcloud. „Aber es lohnt sich – sowohl finanziell als auch von der Güte der Arbeit.“ Für ihn ist es eine zusätzliche Absicherung, die interne Sicherheitsspezialisten aber nicht ersetzen könne.
Auf White-Hat-Hacker setzt auch die Deutsche Telekom. Seit drei Jahren schüttet sie Prämien aus für Fehler, die Externe auf den Telekom.de-Webseiten entdecken. Am Anfang stieß das Projekt auf Widerstand, erzählt der verantwortliche Manager Markus Schmall: „Wie wir auf die Idee kämen, Hacker zum Angriff auf uns einzuladen?“
Doch schon bald schlug die Skepsis in Zufriedenheit um. Hunderte teils sehr gehaltvolle Bug-Meldungen fanden sich im digitalen Postfach; von Absendern unter anderem aus Indien, Pakistan oder Russland. Schmall sieht das Programm daher nicht nur als weitere Sicherheitsoption für den IT-Betrieb. Es helfe auch, Kontakt zu bekommen zu Spezialisten, die nicht nur die Telekom, sondern die gesamte Industrie händeringend sucht.
„Bug Bountys sind ein toller Weg, sich Talent weltweit günstig einzukaufen“, sagt auch Karsten Nohl. Er ist einer von Deutschlands renommiertesten IT-Spezialisten und Geschäftsführer beim Sicherheitsdienstleister SR Labs in Berlin. Von ihren Büros im Dach eines schmucken Altbaus in Berlins Gründerszeneviertel Mitte beraten und begleiten Nohl und seine gut 20 Mitarbeiter auch deutsche und internationale Kunden rund um IT-Sicherheit – und organisieren dabei auch Bug Bountys.
Die Nachfrage danach dürfte gerade in Deutschland rasch wachsen angesichts von Trends wie dem Internet der Dinge und der digitalisierten Industrie 4.0. Dass sich plötzlich beispielsweise Autohersteller mit der Hackbarkeit ihrer Gefährte auseinandersetzen müssen, ist ein Beispiel für die neue Anfälligkeit alter Industrien.
Verbrechen 4.0 - das ist möglich
Rund 75 Prozent aller Computer können heute innerhalb von Minuten gehackt werden.
Jeden Tag werden 600.000 Nutzerkonten attackiert, wie das Unternehmen 2011 selbst einräumte. Eine Zahl, die seitdem eher gestiegen ist.
Fast 90 Prozent aller Kleinunternehmen, deren Kundenkartei gestohlen wurde, müssen innerhalb von drei Jahren ihr Geschäft aufgeben.
Mittels manipuliertem GPS-Signal locken Gangster Lastzüge mit Waren oder Luxusyachten in Hinterhalte.
Auf rund 65,2 Milliarden Euro Schaden durch Umsatzverlust taxiert das Londoner Centre for Economics and Business Research die ökonomischen Folgen von Cyberattacken in der deutschen Wirtschaft seit 2010. Am stärksten betroffen war das produzierende Gewerbe mit 27 Milliarden Euro, gefolgt von Versorgern, Energie und Bergbau (9,2 Milliarden) sowie das Baugewerbe (6,5 Milliarden).
Wichtigste Voraussetzung, sich als Unternehmen gegen solche Verluste zu wappnen, ist wohl, sich die eigene Verwundbarkeit einzugestehen. Und die – gerade im deutschen Ingenieurwesen nur in Maßen vorhandene – Bereitschaft, externe Kompetenz neben dem internen Firmen-Know-how zuzulassen. Die „Nicht hier erfunden“-Denke jedenfalls wird in Zeiten der Digitalisierung zunehmend zum Sicherheitsrisiko. „Wir müssen einsehen, dass da draußen viele helle Köpfe sind, die mindestens so gut oder besser sind als die eigene Mannschaft“, mahnt Telekom-Manager Schmall.
Treffender würde das wohl auch HackerOne-Chef Mickos nicht formulieren.