Ende Oktober blies Generalmajor Jürgen Setzer, stellvertretender Inspekteur des Bundeswehr-Kommandos Cyber- und Informationsraum, zum Angriff. Allerdings nicht auf die Gegner im Netz. Im Gegenteil: Setzer, seit April 2018 auch Chief Information Security Officer der Bundeswehr, rief die globale Hacker-Community auf, die IT-Systeme des deutschen Militärs zu attackieren – und eventuelle Schwachstellen zu melden.
Damit folgt Setzer, studierter Informatiker, dem Vorbild von Konzernen wie Apple oder Google, Goldman Sachs, Microsoft oder der Lufthansa. Sie alle betreiben, teils seit Jahren, sogenannte Bug-Bounty-Programme. Dabei schreiben die Firmen Prämien aus für ethisch motivierte Hacker, sogenannte White Hats. Die sollen Sicherheitslücken in den IT-Systemen der Auftraggeber suchen und diese warnen, statt die Schwachstellen auf dem Schwarzmarkt im Darknet zu verhökern.
Nun also will auch die Bundeswehr das Know-how der Sicherheitsexperten anzapfen. Mitte Oktober hat Setzer die sogenannte Vulnerability Disclosure Policy veröffentlicht. Damit sei die Bundeswehr, betont der General, „im deutschen Behördenumfeld Vorreiter“. Doch der Blick auf die Details des Programms macht stutzig. Und er weckt Zweifel, wie erfolgreich der Aufruf an die White Hats wohl werden mag.
Bis zu einer Million Dollar Prämie
Denn an einer Stelle weicht Setzers Hacker-Plan von den erfolgreichen Vorbildern aus der Industrie ab – und zwar einer entscheidenden. Die Konzerne nämlich honorieren gefundene Schwachstellen mit teils fürstlichen Honoraren. Apple etwa hat zuletzt den Höchstbetrag für extrem brisante Sicherheitslücken von zuvor 200.000 Dollar auf eine Million Dollar hochgesetzt.
Die Konkurrenz treibt offenbar den Preis. Schließlich gilt als offenes Geheimnis, dass die US-Bundespolizei FBI unbekannten Hackern bereits 2016 mindestens 1,3 Millionen Dollar für den Zugriff auf eine bis dato unbekannte Lücke im iPhone-Betriebssystem gezahlt hatte. Die half dem FBI, an die verschlüsselten Handydaten eines mutmaßlichen Terroristen zu gelangen.
Google wiederum schüttete nach eigenen Angaben im vergangenen Jahr 6,5 Millionen Dollar an die White Hats aus – so viel wie nie zuvor. Seit dem Start des Programms im Jahr 2010 summieren sich Googles Prämien auf mehr als 21 Millionen Dollar.
Nun haben die Konzerne gewiss mehr Geld auf der hohen Kante als viele staatliche Stellen. Aber auch das US-Verteidigungsministerium, das Bug-Bounty-Programme vom Sicherheitsdienstleister Hacker One organisieren lässt, hat für White Hats einen eigenen Etat geschaffen. Zwar sind die absoluten Summen Verschlusssache. Aber alleine in der ersten halben Stunde eines vierwöchigen Hacker-Marathons der US-Luftwaffe im Herbst 2018 kassierten die schnellsten Finder bereits 75.000 Dollar an Prämien.
Schlichter Dank auf blauem Grund
Und die Bundeswehr? Der scheint angesichts der milliardenteuren Beschaffungsdramen für Hubschrauber, Schnellboote oder Sturmgewehre schlicht das Geld ausgegangen zu sein. Und so muss General Setzer hoffen, dass den IT-Spezialisten, die die Cybersicherheit von Heer, Luftwaffe oder Marine auf die Probe stellen, eine lobende Erwähnung reicht.
„Danksagung“ steht, weiß auf blauem Grund, als Überschrift auf einer schlichten Web-Seite im Online-Angebot der Bundeswehr, mit der die Militärs Finder möglicher Schwachstellen würdigen wollen. „Wir zeigen den Respekt öffentlich und erkennen diese Leistungen an“, sagt der General.
Damit hat sich’s. Prämien fließen nicht. „Wir kaufen keine Schwachstellen an“, begründet Setzer den Verzicht auf jegliche finanziellen Anreize für die White Hats. Damit steht er nicht alleine in der IT-Community. Bis heute gibt es Kritiker die monieren, erst durch Bug-Bounty-Programme werde ein Markt an der Grenze zu kriminellen Cyberattacken geschaffen.
Das interessiert WiWo-Leser heute besonders
So schummels sich Ikea, Karstadt & Co. am Lockdown vorbei
Warum VW-Händler keine E-Autos verkaufen wollen
„Ich dachte, der KGB hätte mich entführt“
Was heute wichtig ist, lesen Sie hier
Auch Google und Apple sahen das mal so. Aber sie haben – wie immer mehr Unternehmen – ihre Position inzwischen revidiert. Aus gutem Grund. Denn tatsächlich sind die Bug Bountys ja nur die legale Antwort auf einen längst etablierten Schwarzmarkt. Auf dem hat sich, vor allem in vielen osteuropäischen Staaten, manch findiger IT-Spezialist auch deshalb bewegt, weil die Honorare im Schatten so viel attraktiver waren als auf der legalen Seite des Netzes.
Nun aber machen die Initiativen aus der Industrie die Jagd auf Sicherheitslücken zum ebenso legitimen wie lukrativen Broterwerb. Gerade erst haben beispielsweise fünf US-Hacker Apples IT-Systeme drei Monate lang intensiv gefilzt, fast 55 Sicherheitsprobleme entdeckt und dafür bereits im ersten Schub an die 300.000 Dollar Prämien kassiert. Weitere Honorare dürften angesichts der Brisanz der gemeldeten Schwachstellen in den kommenden Monaten noch folgen.
Spärliche Resonanz
Von Lob und Preis auf einer Webseite aber wird kein White Hat satt. Auch die besten Hacker müssen mit ihrer Zeit haushalten. Die werden sie dort investieren, wo sich der Einsatz lohnt. Und genau das ist das Problem von Setzers virtuellen Danksagungen. Zwei Wochen nach dem Start listet die Website erst zwei Finder auf, die sich ihr digitales Fleißkärtchen abgeholt haben. Statt 200 Meldungen in den ersten 30 Minuten – wie beim Hacker-Wettbewerb der US-Luftwaffe Ende 2018.
Mehr zum Thema: Kliniken, Labors und medizinische Zentren stehen in der Pandemie besonders im Visier von Hackern. Nun will ein globales Bündnis von IT-Experten die Gesundheitsbranche besser schützen.
