Auch in unserer Firma ist niemand erfreut, wenn eine Sicherheitslücke von Außen gemeldet wird. Dann geht bei uns nämlich richtig die Post ab: Alarmstufe rot, Test, Reproduktion, Beseitigung und ein neues Release, dass die Lücke stopft. Also jede Menge Stress. Besser ist es, wenn wir die Lücken selber finden, dennoch ist es am zweitbesten, wenn wir die Probleme mitgeteilt bekommen. Am schlimmsten wäre es, wenn die Lücke ohne vorherigen Hinweis an uns anderen mitgeteilt würde.
Daher hat der Umgang mit den Findern entsprechend zuvorkommend zu sein: Dialog, Prüfung, Dank und Information, wann das Release mit der Beseitigung kommt. Dann kann man die Veröffentlichung mit dem Finder koordinieren. Ob das immer so gelingt, kann ich nicht beurteilen. Der Wille ist jedenfalls da.
Wegen des entstehenden Aufwandes kann ich schon verstehen, wenn jemand nicht gerade erfreut darüber ist, wenn ihm ein Problem gemeldet wird. Leider scheinen aber auch noch ganz andere Reaktionen üblich zu sein:
- Leugnen/Verdrängen: Das ist kein Problem. Wir haben alles im Griff. So einen Angriff sind utopische Voraussetzungen nötig.
- Kleinreden: Es gab noch nie eine Angriff, der die Lücke ausnutzt. Das ist nur eine theoretische Lücke. Alles halb so wild.
- Kriminalisieren: Wer so eine Lücke findet, muss ein Krimineller sein. Er verhält sich nicht konform. "Wehe Dir, oh, Finder der Lücke."
Der Anlass meines Schreibens ist der Umgang mit dem Studenten Hamed Al-Khabaz: er wurde der Hochschule verwiesen. Die Hochschule widerspricht zwar der Version des Studenten, aber unstrittig ist wohl, dass er eine Sicherheitslücke fand, sie meldete und ein paar Tage nach der Rückmeldung die Lücke werde behoben, mal nachschaute, ob das auch wirklich durchgeführt wurde. Was für eine Lücke das ist, ist nicht von Belang. Es ist nur wichtig, dass es um die personenbezogenen Daten aller Studenten ging: also die schlimmste anzunehmende Sicherheitslücke einer Universität.
Leider hat die Hochschule hier den nötigen Mentatiltätswandel noch nicht vollzogen: Den Melder eines Sicherheitsproblems zu kriminalisieren, weil er weiterhin nach Lücken suchte, wirft ein sehr schlechtes Licht auf die Hochschule. Anstatt ihm dankbar zu sein und ihn auch offiziell damit zu beauftragen, dass er die eigenen Systeme testet und Probleme meldet, wird verletzt reagiert. Da er so großes Interesse an dem Thema hat, hätte er es möglicherweise sogar im Rahmen eines Seminars (also kostenlos) gemacht. Eine Win-Win-Situation: der Student hat ein interessantes Seminar mit einer vermutlich guten Note und die Hochschule einen kostenlosen Penetrationstest für das wichtigste System.
Ich finde es ein Zeichen von fehlendem Problembewusstsein, wenn offizielle Stellen oder Firmen mit Sicherheitsproblemen und der Meldung von Lücken nicht professionell umgehen. Ob es nun daran liegt, dass manche Menschen keine Fehler zugeben können, sich einfach nur belästigt fühlen, sich rächen wollen oder andere Gründe haben, wird man wohl nie erfahren. Zum Glück werden solche deplatzierten Reaktionen heute manchmal bekannt.
Ich kenne die Hintergründe nicht, aber von ganz weit weg gesehen, setzt sich die Universität in ein sehr unprofessionelles Licht. Dem Studenten hilft das wohl nicht: seine Laufbahn ist ruiniert, wenn es ihm nicht gelingt, das Kollege zum Einlenken zu bewegen. Er wurde kriminalisiert, sein Stipendium ist weg und sein Studienplatz ebenso. Es klingt so als würde ein Exempel statuiert. Armer Kerl.
Details zum aktuellen Stand bei Heise.de: Geschasster Campus-Hacker: College widerspricht