Hinweis zu Affiliate-Links: Alle Produkte werden von der Redaktion unabhängig ausgewählt. Im Falle eines Kaufs des Produkts nach Klick auf den Link erhalten wir ggf. eine Provision.

Kosmos-Kolumne / Hakan Tanriverdi sucht nach Gut und Böse in der Hackerwelt

von Hakan Tanriverdi
IT-Lücken, die von selbst ernannten Sicherheitswächtern aufgespürt werden, machen regelmäßig Schlagzeilen. Sind die Entdecker echte Helden – oder potenzielle Verbrecher?

Diese Kolumne hat 547 Wörter. Das ist weniger als ein Fünftel der Textmenge, die Mary Ann Davidson im August brauchte, um der Hacker-Community ihre Botschaft zu senden. Davidson ist Security-Chefin beim US-Softwarehersteller Oracle, aber für ihren Rant hätte auch Tweetlänge gereicht. Sinngemäß zusammengefasst: Oracle-Software ist sicher, dafür sorgen wir selbst. IT-Forscher, lasst die Finger von unserem Code! Ihr werdet keine Fehler finden, ihr nervt uns nur!

Was die hier diffamierten Hacker tun: Sie nehmen Software auseinander, um nach Schwachstellen zu suchen, nach Schlampereien der Programmierer. Davidson will das nicht. Sie glaubt, dass die hausinternen Sicherheitsleute schon alle Löcher finden werden.

Millionen Zeilen Code – und alle 1000 Zeilen ein Fehler. Mindestens.

Das ist Wunschdenken. Experten gehen davon aus, dass pro 1000 Zeilen Code mindestens ein Fehler passiert, und moderne Software hat Millionen von Zeilen. Davidsons Beitrag sagt viel über die Diskussion, die Technikfirmen zu diesem Thema führen. Google und Microsoft zum Beispiel bezahlen sogar Geld dafür, dass sie auf solche Fehler hingewiesen werden.

Die Position von IT-Sicherheitsforschern hat sich in den vergangenen Jahren deutlich verändert. Ihre Arbeit wird öffentlich immer stärker wahrgenommen. Wenn sie auf Konferenzen über ihre Projekte sprechen, berichten die internationalen Medien davon – zum Beispiel, als zuletzt zwei Hacker vorführten, wie man Autos mit relativ simplen Mitteln fernsteuern kann. Und als bekannt wurde, dass Geheimdienste wahrscheinlich die Spionagesoftware Regin eingesetzt hatten.

Natürlich gibt es auch Hacker, die ihr Wissen an Diktatoren verkaufen. Viele von ihnen leben und arbeiten in Europa. Sie finden Schwachstellen in Software von Firmen wie Apple oder Oracle, bringen entsprechende Spyware auf den Schwarzmarkt – die Regime zahlen gut. Erst kürzlich wurde die italienische Firma Hacking Team von Unbekannten gehackt – in den Dokumenten, die dabei auftauchten, fanden sich Deals mit Staaten wie Kasachstan und dem Sudan. Dass vergleichbare Geschäfte öffentlich werden, auch das ist mit ein Verdienst der Sicherheitsforscher.

Auch Hacker, die legitim arbeiten, werden bestraft.

Nun wollen Politiker nicht zulassen, dass IT-Forscher auf so zwielichtige Weise Geld verdienen – wozu sie im Rahmen eines internationalen Abkommens den Verkauf von Spyware verbieten wollen. Schön, könnte man denken: Hier wird ein zweifelhafter Geschäftszweig zerstört, der bis 2014 nicht reguliert war. Doch die politische Lösung, mit der dieses Verbot nun umgesetzt werden soll, erinnert an die Haltung von Oracle-Motzerin Davidson: Der Verkauf von Software, die es möglich macht, in andere Software einzudringen, soll genehmigungspflichtig werden. Diktaturfreunden killt das ihr Geschäft. Gleichzeitig werden auch die Hacker bestraft, die völlig legitim arbeiten.

Ein Beispiel: Sagen wir, Forscher fluten einen bestimmten Rechner mit willkürlichen Anfragen. Sollte eine davon die Maschine lahmlegen, prüfen sie weiter: Könnte das der entscheidende Fehler im Code sein, durch den man ins System schlüpfen kann? Was zum Einmaleins der Nutzersicherheit gehört, stünde nach dem besagten Abkommen im Zwielicht: Ob man derartige Fehler weiterhin an die betroffenen Firmen verkaufen, also exportieren darf, ist unklar. Sicherheitsforscher wissen derzeit nicht, wie es weitergehen soll, und die Bundesregierung beantwortet Rückfragen schleppend und vieldeutig.

Eine Lösung wäre, bei der Software genauer zu differenzieren. Ist ein Analyseprogramm nur in der Lage, solche Fehler zu finden – oder kann es durch diese Lecks hindurch auch Daten herausschleusen, also Fotos oder Nachrichten an die Überwacher liefern? Sollte Letzteres der Fall sein, könnte man den Verkauf regulieren. Die zuständigen Politiker betonen, sie seien im Gespräch mit den IT-Forschern, und sie kennen den skizzierten Ausweg. Es liegt an ihnen, zu zeigen, dass sie tatsächlich mehr digitalstrategische Fantasie haben als Mary Ann Davidson.

In der letzten Ausgabe verurteilte Hakan Tanriverdi die Forderungen nach Hintertüren. 

GQ Empfiehlt