So gefährlich ist es, in Deutschland IT sicherer zu machen

So gefährlich ist es, in Deutschland IT sicherer zu machen

Sicherheit DMW007

Beim Thema IT-Sicherheit sind wir nicht gerade als weltweit führend bekannt. Dafür gibt es Gründe und bei vielem sind wir letztendlich selbst Schuld: Sicherheit wird nicht gefördert, sondern bestraft. Selbst wenn Sicherheitsmängel von Freiwilligen gefunden & unentgeltlich vertrauensvoll an die Verantwortlichen gemeldet werden, sehen sie die Finder viel zu oft mit Strafverfolgung konfrontiert. Immer wieder kommt es sogar zu Hausdurchsuchungen, bei denen Geräte beschlagnahmt werden. Neben diesem tiefen persönlichen Eingriff bedroht dies Existenzen. Ein politischer Versuch der Entschärfung bewirkt wenig.

Wer ist für IT-Sicherheit verantwortlich?

Die simple Antwort: Jeder für sich. Es liegt in der Verantwortung jedes einzelnen, die Haustüre beim Verlassen abzuschließen. Im digitalen Raum ist das nicht anders. Wer z.B. Software entwickelt, muss dafür sorgen, dass sie sicher ist. Ein Administrator hat seine Systeme auf Sicherheitsmängel zu prüfen, aktuelle Versionen so schnell wie möglich einzuspielen und so weiter.

All das muss als Prozess aus innerer Motivation heraus gelebt werden. Wer bloß Checklisten abarbeitet, kann zwar später sagen „Ich habe mich an alle Vorschriften gehalten“. Für optimale Sicherheit wird das wohl nicht sorgen. IT-Probleme neigen zu Kreativität und manche Angreifer ebenfalls. Wie in der Realität auch, kann Aufmerksamkeit zusammen mit gesundem Menschenverstand eine Katastrophe verhindern, bevor sie passiert. Mit Arbeitsanweisungen nach Schema F eher weniger.

Die Realität

So weit die Theorie. Ich erwähne das deswegen ausführlich, weil die Realität davon oft sehr weit entfernt ist: Unerfahrene/schlecht geschulte Entwickler müssen unter Zeitdruck etwas umsetzen, weil der CEO das den Kunden versprochen hat. Und der BWLer versucht sowieso ständig Ressourcen noch weiter zu kürzen – als kommerzielles Softwareunternehmen will man schließlich hohe Profite einfahren. Wo spart eine unter diesem Druck stehende Führungskraft wohl als Erstes? Bei Dingen die viele nicht direkt sehen – wie der Sicherheit. Software wird wegen Funktionen gekauft. Wenn die Fehlen, merkt das der Kunde und entscheidet sich ggf. gegen den Lizenzkauf.

Der Fachkräftemangel ist schuld?

Bitkom prognostiziert, dass bis zum Jahr 2040 in Deutschland 663.000 IT-Fachkräfte fehlen – Faktor 4 mehr als 2024.1 In einer Umfrage aus dem Jahr 2023 gab die große Mehrheit von über 70% der befragten Unternehmen an, ihnen Fehlen Mitarbeiter im Bereich IT-Sicherheit.2 Auf Platz 2 liegen Netzwerkadministratoren mit knapp 40%. Nun ist das mit dem Fachkräftemangel ein kompliziertes Thema, welches sich nicht in Schwarz/Weiß abbilden lässt. Einerseits gibt es ihn regional tatsächlich, tendenziell vor allem in ländlicheren Regionen.

Andererseits gibt es genügend Unternehmen, die Marktwirtschaft nicht verstanden haben und bestenfalls durchschnittliche Angebote machen – wenn überhaupt. Bei starker Nachfrage können sich die AN aussuchen, wo sie Lohnarbeit leisten. Bietet man als AG keine attraktiven Konditionen, findet man niemanden. Oder bestenfalls jene, die mangels Qualifikation niemand anstellen möchte. Das ist genau so wenig Fachkräftemangel wie Porschemangel auf eine Anzeige „Suche neuen 9/11er, biete 10.000€“. Warum meldet sich nur keiner?

Report zeigt, woran es wirklich liegt

Das Aufholen der oft improvisierten Umsetzungen fällt oft Flach. Der typische BWL-Profi sieht das als Geldverschwendung an – die Software funktioniert schließlich. Doch dadurch häufen sich technische Schulden an. Wie wenn man zuhause nicht aufräumt. Die Arbeit wird immer mehr und irgendwann entsteht eine Katastrophe, weil alles zugemüllt ist.

The State of Software Security 2024 hat das jüngst untersucht: 70,2% der untersuchten Anwendungen nutzen Drittanbieter-Code mit Sicherheitsmängeln. Vor allem JavaScript-Entwickler werfen mit Abhängigkeiten um sich. Bei 63,4% von internen Anwendungen wurden Fehler gefunden. All das wird bestenfalls ansatzweise behoben – oder gar nicht, wenn neue Funktionen vor die Behebung von Sicherheitsmängeln & Fehlern gestellt werden.3

Meist sorgen ganz andere für Sicherheit

Unsichere Software ist also die Regel statt Ausnahme. Unternehmen nutzen und verkaufen zahlreiche Programme voller Sicherheitsmängel. Im schlechtesten Falle findet die ein böser Hacker, missbraucht oder verkauft sie für kriminelle Zwecke – zum Schaden der Anwender. Hat der Hersteller Glück, wird die Software nur von einem (angehenden) Sicherheitsforscher auseinander genommen. Die Fachkräfte müssen schließlich irgendwo her kommen und was eignet sich besser zum Lernen, als eine löchrige Anwendung aus dem Alltag zu untersuchen?

Der wesentliche Unterschied: Solche ethischen Hacker schlagen viel Geld auf dem Schwarzmarkt aus. Ihnen geht es um die Sache, nämlich für mehr Sicherheit zu sorgen. Gefundene Sicherheitsmängel nutzen sie daher nicht zum Schaden anderer aus, sondern melden sie an den Hersteller der Software. Dieser erhält eine angemessene Frist (oft 90 Tage), um sie zu beseitigen. Erst dann erfolgt eine Veröffentlichung, um Betroffene Nutzer/Kunden zu schützen.

Wer hilft, riskiert einen großen Tritt in den Hintern

Als Unternehmen müsste man solche Menschen mit Kusshand empfangen, oder? Schließlich verzichten sie auf viel Geld, um Unternehmen zu helfen, die Sicherheit als Kostenfaktor vernachlässigen. Dazu helfen sie gratis. Auch hier sieht die Realität oft ganz anders aus. Einige Beispiele, die von unverantwortlich.ch4 gesammelt wurden:

  • 2013 wurden Sicherheitsmängel in einer verbreiteten der Wegfahrsperre gefunden, der Autobauer Volkswagen verklagt die Entdecker5
  • Sogar das Bundesamt für Sicherheit in der Informationstechnik (BSI) bedrohte den Entdecker einer schweren Sicherheitslücke im vom BSI bereitgestellten Programm GSTool juristisch6
  • 2015 geht Fireeye (Entwickler von Security-Appliances für Unternehmen) gegen Sicherheitsforscher vor, die erhebliche Sicherheitsmängel in ihren Produkten gefunden haben. Es hat eine gewisse Ironie, dass diese als Sicherheitslösung verkauft werden, allerdings selbst zur Gefahr werden.7
  • 2018 klagte die Promon AG (Entwickelt Sicherheitssoftware für Banken) gegen Wissenschaftler der TU München. Auch die Keule des Urheberrechts wurde ausgepackt. Das wurde sogar dem Gericht zu viel: Es „widerspreche gesundem Menschenverstand“.8
  • 2021 wurde ein Datenleck von Modern Solution entdeckt. Dies umfasste 700.000 Kundendaten, teilweise sogar Bankdaten. Der Entwickler informierte das Unternehmen per E-Mail sowie telefonisch. Dort sei die Sicherheitslücke negiert worden und es erfolgte keine Reaktion mehr. Erst als er die Lücke später öffentlich machte, wurde sie angeblich behoben – was laut Tests des Entwicklers nicht stimmte. Drei Monate später kam es unter dem Vorwand einer Paketzustellung zur Hausdurchsuchung beim Entdecker. Durch die Beschlagnahmung seiner Arbeitsgeräte war er in seiner Existenz bedroht und musste einen Spendenaufruf starten.9
  • Die CDU sammelt mit der App „CDU Connect“ über Jahre hinweg zahlreiche Daten von Personen, die bei Hausbesuchen zum Wahlkampf erfasst wurden. Darunter Personenbezogene Daten – was die CDU zuvor ausdrücklich verneinte. Die Sicherheitsforscherin Lilith Wittmann entdeckte, dass sämtliche Daten ungeschützt abrufbar waren. Das gilt eben so für die CSU. Von Seiten der CDU wurde mit rechtlichen Schritten gedroht, gegen Wittmann wird als Beschuldigte ermittelt. Der Chaos Computer Club (CCC) war derart emphört über das Verhalten der Partei, dass sie ankündigen, zukünftig keine Sicherheitsmängel mehr an die Partei zu melden.10
  • 2022 entdeckte ein Webentwickler schwere Sicherheitslücken in der Webseite des Gesundheitsministeriums in Österreich, die für Covid-19 Tests erschaffen wurde: Jede zugriffsberechtigte Apotheke konnte nicht nur die eigenen Testergebnisse abrufen, sondern sämtliche von ganz Österreich aus den letzten 7 Tagen. Dazu persönliche Daten der Betroffenen. Auch hier meldete der Entwickler die Lücke zur Behebung. Doch das Gesundheitsministerium stritt ab, dass es eine Gesundheitsministerium gab, um später zu behaupten, man habe sie geschlossen. Schlussendlich wurde die Apotheke ausgeschlossen, der ehrliche Finder verlor seinen Job.11
  • 2022 bemerkt ein Entwickler bei der Nutzung von Beatclub, dass der Dienst die Daten aller Nutzer ausgibt. Darunter sind Kontaktdaten bekannter Produzenten aus der Musikindustrie. Beatclub behebt die Lücke, informiert aber nicht die Nutzer über den Vorfall, wie es rechtlich vorgeschrieben ist. Der CEO bedroht den Finder und hetzt ihm eine Privatdetektei auf den Hals. In Drohbriefen wird der Entwickler aufgefordert, das Hacken zu stoppen – obwohl er nie etwas gehackt hatte. Es folgte ein Anwaltsbrief, laut dem er eine rote Linie überschritten habe und zum „Thread Actor“ geworden sei.12
  • Ein Student der IT-Sicherheit findet im Ticket-System der bekannten Gamescom Spielemesse eine erhebliche Sicherheitslücke: Auch hier konnte man die Daten anderer Konten einsehen. Die meldet er dem Betreiber der Plattform. Dort erfolgt keine Reaktion. Als Dank erhält der Student eine Vorladung der Staatsanwaltschaft, was auf eine Anzeige der Koelnmesse GmbH zurück zu führen sei. Laut Aussagen des Entdeckers wurde bei der Vernehmung versucht, ihm ein Vergehen anzulasten und den Student einzuschüchtern.1314

Große Abschreckung

Linus Neumann, Sprecher des CCC sieht derart plumpe und unkluge Vorgehen zur Kriminalisierung der freiwilligen Melder von Sicherheitslücken als Ausnahme an. Doch es kommt immer wieder zu Fällen, in denen Personen verfolgt werden, die sich ethisch absolut korrekt verhalten haben. Diese Schreckensmeldungen erzeugen immer mehr Angst. Die Zahl der Anfragen beim CCC ist bereits 2022 stark angestiegen.15

Inzwischen raten Sicherheitsforscher dringend davon ab, Sicherheitsmängel an die Polizei oder Staatsanwaltschaft zu unternehmen.16 Die meldenden könnten sich selbst belasten und zum Sündenbock werden. Diesem Rat muss man leider zustimmen. Es wurde eine ähnlich perverse Rechtslage geschaffen, wie längere Zeit bei der Verschärfung von Kinderpornografie: 2021 feierte sich die CDU dafür, ihre Forderung nach Verschärfung endlich umgesetzt zu haben.17 Das soll nun für die Kinder alles besser machen. In der Praxis wurde es sogar schlimmer. Da der Besitz von KiPo ausnahmslos strafbar war, mussten die Gerichte zunehmend Eltern und Lehrer anklagen, die helfen wollten.18 Auch viele Kinder/Jugendliche gelangen in den Fokus der Justiz.19 Erst Mitte 2024 machte die Ampel die irrsinnige Verschärfung der CDU rückgängig.20

Macht die neue Entschärfung alles besser?

Die Politik wurde auf die katastrophale Situation spät aufmerksam, sieht allerdings endlich Handlungsbedarf: Ein neuer Gesetzesentwurf soll den Hackerparagraf (§202c) entschärfen.21 Er sieht eine Ausnahme für Sicherheitsforscher vor. Handeln sie in guter Absicht, entfällt die Strafbarkeit.

Folgende drei Bedingungen müssen dafür erfüllt sein:

  • Das Eindringen in fremde Systeme geschieht mit der Absicht, eine Sicherheitslücke festzustellen
  • Es muss ebenfalls beabsichtigt sein, eine verantwortliche Stelle darüber zu informieren, die den Sicherheitsmangel beheben kann
  • Wahrung der Verhältnismäßigkeit: Die Handlung muss erforderlich für die Feststellung einer Lücke sein

Allerdings fehlt der wohl wichtigste Punkt, nämlich die Werkzeuge. Das größte Problem des Hackerparagraf: Er verbietet bereits den Besitz & die Verbreitung von Werkzeugen, mit denen man Systeme untersuchen kann. Und sich Zugang zu (schlecht) geschützten verschafft. Dieser Paragraf wurde nicht gestrichen. Es wird daher befürchtet, dass es auch weiterhin zu Repressalien kommen wird. Schließlich sind die Werkzeuge weiterhin grundsätzlich illegal. Ob alle der drei Ausnahmekriterien zur Straffreiheit erfüllt sind, dürfte sich erst im Ermittlungsverfahren klären lassen. Dem wiederum gehen oft Hausdurchsuchungen voraus. Sie führen zu psychischen Belastungen und Einschränkungen, wodurch die Existenz gefährdet sein kann.

Fazit: Weniger schlecht ist nicht besser

Eine Reform ist überfällig. Unzählige Jahre mit dutzenden Negativbeispielen hat es gedauert, bis der Hackerparagraf endlich in Angriff genommen wurde. Erstmals gibt es eine Rechtsgrundlage für ethische Hacker, die sich bislang immer strafbar machten. Wer das Risiko einging, musste auf den Wohlwollen aller Beteiligten hoffen – oft der Anfang einer Horrorgeschichte.

Das größte Problem – die Kriminalisierung der Software – wurde leider noch immer versäumt. Die Lage mag dadurch etwas weniger schlimm werden. Von einem guten Zustand, in dem Sicherheitsforscher ohne Generalverdacht ihrer Arbeit vernünftig nachgehen können, sind wir noch weit entfernt. In dieser Branche lebt man nach wie vor gefährlich und sollte gut überlegen, welchen Preis man bereit ist zu zahlen, um (teils undankbaren) Unternehmen zu helfen. Während parallel die illegal agierenden Kollegen für das Risiko einer Strafverfolgung zumindest erheblich mehr Geld auf dem Schwarzmarkt einnehmen.

Dieses Chaos erinnert an die halbgare Legalisierung von Cannabis in den Niederlanden: Konsum & Verlauf werden toleriert, aber der Verkauf ist weiterhin verboten. Betreibern von Coffeeshops bleibt keine andere Wahl, als sich auf dem Schwarzmarkt strafbar zu machen. Hier fehlt ein Gesamtkonzept, welches den legalen Kauf einschließt. Es ist schade, dass sich Deutschland mit diesem seit langem kritisierten konservativen Gesetz im Bereich der IT-Sicherheit bis heute selbst ins Abseits schießt.

Quellen

  1. https://www.security-insider.de/it-fachkraeftemangel-cybersicherheit-deutschland-a-249556ef309aa01b67d4c8116c4ac7d0/ ↩︎
  2. https://b2b-cyber-security.de/en/it-fachkraeftemangel-30-prozent-fehlen-im-bereich-cybersecurity/ ↩︎
  3. https://www.heise.de/news/Software-Security-Entwickler-ertrinken-in-technischen-Schulden-9829755.html ↩︎
  4. https://github.com/unverantwortli-ch/list/blob/main/list.yml ↩︎
  5. https://www.zeit.de/digital/datenschutz/2013-07/megamos-volkswagen-wegfahrsperre-hack ↩︎
  6. https://www.golem.de/news/gstool-bsi-bedroht-sicherheitsforscher-1309-101531.html ↩︎
  7. https://www.golem.de/news/einstweilige-verfuegung-fireeye-geht-juristisch-gegen-sicherheitsforscher-vor-1509-116346.html ↩︎
  8. https://www.heise.de/news/Offenlegung-von-Softwareluecken-Rechtsstreit-endet-mit-Vergleich-4156393.html ↩︎
  9. https://www.golem.de/news/nach-datenleck-hausdurchsuchung-statt-dankeschoen-2110-160269.html ↩︎
  10. https://www.golem.de/news/connect-app-cdu-verklagt-offenbar-hackerin-nach-melden-von-luecken-2108-158647.html ↩︎
  11. https://epicenter.works/content/massive-sicherheitsluecke-in-oesterreich-testetat-aufgedeckt-gesundheitsministerium ↩︎
  12. https://www.golem.de/news/nach-datenleck-softwareentwickler-durch-privatdetektiv-bedroht-2210-168660.html ↩︎
  13. https://winfuture.de/news,142718.html ↩︎
  14. https://twitter.com/apex_1337/status/1783838417731850408 ↩︎
  15. https://www.golem.de/news/nach-datenleck-softwareentwickler-durch-privatdetektiv-bedroht-2210-168660-3.html ↩︎
  16. https://winfuture.de/news,142718.html ↩︎
  17. https://www.cducsu.de/themen/harte-strafen-fuer-kindesmissbrauch-und-kinderpornografie ↩︎
  18. https://www.swr.de/swraktuell/rheinland-pfalz/koblenz/lehrerin-kinderpornografischer-inhalte-konfisziert-deswegen-angeklagt-100.html ↩︎
  19. https://netzpolitik.org/2022/strafrecht-die-meisten-tatverdaechtigen-bei-kinderpornografie-sind-minderjaehrig/ ↩︎
  20. https://netzpolitik.org/2024/kinderpornografie-paragraf-bundestag-senkt-mindeststrafen/ ↩︎
  21. https://www.heise.de/news/Neues-Computerstrafrecht-vorgelegt-inklusive-Hackerparagraf-10003958.html ↩︎

Leave a Reply