Lücken sichtbar machen
Im letzten Monat gab es verschiedene Meldungen über den Umgang mit Sicherheitslücken, die von Externen gefunden wurden. Grundsätzlich ist es immer gut, wenn Menschen, die Sicherheitslücken finden, diese nicht für sich behalten oder gar meistbietend an Angreifergruppen verkaufen.
In der Theorie gibt es für die Meldewege und die Reaktion inzwischen einen ISO-Standard sowie Empfehlungen des BSI und der Allianz für Cybersecurity. In der Praxis hakt es gern mal, wie ein paar aktuelle Fälle zeigen.
Wenn es um Sicherheitslücken geht, sind immer mindestens die folgenden Parteien involviert: Der Entdecker der Lücke, der Hersteller des betroffenen Systems und diejenigen, die das System einsetzen. Dazu können noch Wiederverkäufer, Vermittler wie ein CERT und weitere Parteien kommen. Um sicherzugehen, dass man tatsächlich über die gleiche Lücke spricht, hat man daher 1999 angefangen, Sicherheitslücken mit einer CVE-Nummer zu versehen. In diesem Zusammenhang wird meist auch die amerikanische Lückendatenbank NVD (National Vulnerability Database) erwähnt. Datenbanken wie diese, die zu den CVE-Nummern die passenden Metadaten, Risikobewertungen und Links zusammentragen, gibt es mehrere. Die NVD ist jedoch häufig die erste Wahl und wird auch von vielen Programmen als Datenbasis verwendet. Wir haben in den letzten Jahren bereits deutliche Verzögerungen bei der Vergabe von CVE-Nummern erlebt. Das ist aber nichts im Vergleich zu den Verzögerungen in der NVD, die ab Februar 2024 kaum noch neue Beiträge veröffentlicht hat. Im Mai wurde nach Protesten vom Betreiber ein Dienstleister beauftragt, um den Rückstau abzuarbeiten.
In der Beziehung zwischen Entdecker der Lücke und Hersteller werden nicht selten dem Entdecker böse Absichten unterstellt und gelegentlich auch zivil- oder strafrechtliche Schritte angedroht. Im Zuge des aktuellen Sicherheitsvorfalls bei der CDU verwiesen daher auch mehrere Forschende auf einen älteren Vorfall bei der Wahlkampf-App der CDU, bei dem die Entdeckerin Lilith Wittmann von der CDU angezeigt wurde. Mehrere Forschende und der CCC hatten daraufhin angekündigt, keine Sicherheitslücken mehr an die Partei zu melden. Ob der aktuelle Vorfall andernfalls früher hätte erkannt oder gar vermieden werden können, ist offen, aber der Fall zeigt sehr deutlich den Konflikt, in dem die Entdeckenden sich befinden. Der Koalitionsvertrag sieht bereits eine Verbesserung der rechtlichen Lage vor. Auf die Umsetzung wurde von mehreren Seiten in den letzten Wochen gedrängt.
Offizielle Bug-Bounty-Programme, also strukturierte Angebote der Hersteller, für gemeldete Sicherheitslücken Geld auszuzahlen, sind ebenso eine Möglichkeit, dem Ganzen einen rechtlichen Rahmen zu geben. Während einige Entdecker diese Programme als gute Gelegenheit für ein Einkommen sehen, wehren sich andere dagegen, in solch ein Programm gedrängt zu werden. Sie sehen sich durch die Vertragsbedingungen, vor allem durch die Verschwiegenheitsklauseln, zu stark eingeschränkt. Außerdem schwingt hierbei das Misstrauen aufseiten des Entdeckers mit, dass das Bug Bounty eher ein Schweigegeld ist und der Hersteller die Problembehebung anschließend beliebig hinauszögern kann.
Aber auch die Entdecker agieren nicht immer verantwortungsvoll. Ein drastisches Beispiel erlebte die Kryptobörse Kraken. Eine Gruppe meldete erst über das bestehende Bug-Bounty-Programm eine Lücke, um diese kurz danach selbst auszunutzen und sich fast 3 Millionen Dollar auszuzahlen. Das Geld wollten sie nur dann zurückzahlen, wenn sie eine angemessene Aufwandsentschädigung erhielten. Unsere Kunden berichten auch von Fällen, bei denen sich vorgebliche Sicherheitsforschende melden, die angeblich identifizierte Lücken und die Details nur gegen Vorauszahlungen preisgeben. Einige Ransomware-Gruppen nennen ihre Lösegeldforderung jetzt sogar „Pentest with Post Payment“.
Insgesamt ist das „richtige“ Lückenmelden ein komplexes Feld, das aber sehr zentral für das Risikomanagement ist.
Wie sollte man es machen?
- ISO/IEC 30111:2019 – Vulnerability handling process
- https://www.bsi.bund.de/dok/schwachstellenmeldung
- https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/BSI-CS/BSI-CS_019.html
- Empfehlung zur security.txt: https://www.allianz-fuer-cybersicherheit.de/dok/6644204
NVD – aktueller Status: https://nvd.nist.gov/general/news/nvd-program-transition-announcement
Rechtliche Situation in Deutschland
- Ausführliche Diskussion der aktuellen Lage: https://background.tagesspiegel.de/it-und-cybersicherheit/briefing/schwachstellen-gemeinsam-richtig-offenlegen
- Zum Vorfall bei der CDU-App 2021: https://www.heise.de/news/Verfahren-gegen-Lilith-Wittmann-eingestellt-weil-CDU-connect-ungeschuetzt-war-6194222.html
- Reaktion des CCC: https://www.ccc.de/de/updates/2021/ccc-meldet-keine-sicherheitslucken-mehr-an-cdu
Unverantwortliche Entdecker:
