In den letzten 2-3 Wochen habe ich ca 15 Unternehmen und das BSI mehrmals über Sicherheitslücken informiert. Keine davon war originär neu, sondern Konfigurationsfehlern, schlechter Wartung oder absoluter Unfähigkeit geschuldet.
Gerade mal ein Unternehmen hat sich bei mir mit einem Paket teurer Schokolade bedankt. Ich würde zu gerne das Positivbeispiel hier nennen, aber dann wird vermutlich ausgerechnet dieses Unternehmen als IT-Security-Problem gebrandmarkt, was es aber nicht ist. Es gab viel schlimmere Vorfälle.
Denn Fehler passieren, auch „dumme Fehler“. Und jeder macht sie, weil IT einfach sehr komplex ist. Einzelne Systeme versehentlich von aussen erreichbar zu haben, kann passieren. Ob nun Versandhaus oder Verkehrspilotenschule mit offenem Windows-Fileshare-Zugang (SMB/CIFS) zu seinem NAS mit statischer IP. Ob Urgestein der Schweizer Informatik-Industrie mit Ticketsystem für eine Vielzahl an Kultureinrichtungen in Paris, regionale Access-Provider in Deutschland oder Tankstellenbetreiber.
Neben dem Positivbeispiel oben gab es noch eine „Danke“-Mail eines iOS-Software-Anbieters aus den Niederlanden. Sonst kam nicht einmal eine Antwort – die Löcher wurden allerdings fast immer umgehend geschlossen.
Nun stellt sich die Fragen: Soll ich in Zukunft überhaupt noch Mails schreiben? Zwar macht es mir schon Spass solche Probleme zu finden, aber ohne „Return“ – selbst wenn es nur eine Anerkennung per Mail wäre – kann ich es eigentlich auch den Black-Hats überlassen, den Industriespionen und „Hackern“ aus China und Russland. Oder nicht?
Eine Alternative wäre das Betreiben eines Informationsportales, welche die Sicherheitslücken veröffentlicht und einmal im Monat über den Stand meiner Tätigkeiten berichtet.
Ich würde das mit einer Art „Responsible Disclosure“ anbieten, bei dem die Lücken nach 14 Tagen unter voller Namensnennung von mir veröffentlicht – und ggf. auch Medien informiert werden.
Ich könnte Unternehmen anbieten, einen Premium-Zugang zu buchen, sagen für 1000€ pro Jahr und dann im Gegenzug auch ein NDA anbieten. Ich würde dann natürlich nicht die Öffentlichkeit informieren und die Endkunden würden vermutlich nichts erfahren, ausser der Kunde informiert von sich aus seine Kunden – die Kommunikation bleibt voll in Kundenhand.
Es wäre moralisch im Einzelfall problematisch, aber andererseits wäre es nachhaltig: Ich könnte den Zeitaufwand rechtfertigen und zumindest teilweise vergütet bekommen. Je nach Kunde wäre eventuell auch eine darüber hinausgehende Beratungsleistung interessant, schliesslich kann ich auch DevOps und Software-Services anbieten oder vermitteln und die allermeisten Probleme basieren auf Schwächen in diesem Bereich. Am Ende profitieren alle und das Netz wird sicherer (naja, ein bisschen…).
Wenn ich meine Leistung nicht vergütet bekomme – also kein Geschäftsmodell entwickle —, muss ich zumindest die Resultate öffentlich machen um meine Services und meine Erfolgsquote potenziellen Kunden darzustellen. Auch wenn es im Einzelfall negative Auswirkungen auf die Reputation betroffener Unternehmen hat. Andererseits sind die „Betroffenen“ auch beispielhafte potenzielle Kunden.
Wahrscheinlich werde ich mir Dinge wie „Erpressung“ vorwerfen lassen müssen, andererseits sind die bisher entdeckten Dinge so offensichtlich verbockt, dass in vielen Fällen eine Personalentscheidung bei den Unternehmen angebracht wäre (insbesondere wenn ein Konfigurationsfehler auf hunderte Systeme ausgerollt wurde). Wer sich um seine Kunden und seine Sicherheit nicht kümmert, braucht dann nicht jammern, wenn jemand den schönen Schein zerstört. Aber vermutlich werde ich öfter mit Anwälten zu tun haben dürfen.
Ich werde mal überlegen ob und wie ich diesen Geschäftsbereich weiterverfolgen kann.