conference logo
Easterhegg 20 - Back to root

Playlist "Easterhegg 20 - Back to root"

Buntes Bug Bounty - Teil II - Update aus dem Cybersicherheitsdialog

Little Detritus

Ein Plädoyer für anonyme, niedrigschwellige, rechtssichere und ethische Disclosure Prozesse

Wenn der Bund ein Angebot schafft, das Sicherheitsforscher:innen befähigt, Beiträge zur Verbesserung der Informationssicherheit durch Beteiligungsprozesse zu schaffen, mag dies die Auswirkungen des Hackerparagrafen mildern.

Wir haben das Abenteuer gestartet, zu versuchen dieser Frage im Rahmen des BSI Cybersicherheitsdialog auf den Grund zu gehen. Eine erste Vorstellung des Themas gab es im Rahmen der Jahresendveranstaltung 2022 auf der Hacking in Parallel [0][1] und im Rahmen des Netzpolitischen Abend 124 [2] am 07.03.2023

Das Melden von Sicherheitslücken und Datenlecks ist in Deutschland aktuell ein riskantes und aufwändiges Unterfangen. Erfahrungsgemäß besteht 60 bis 80 Prozent des Aufwandes darin, die Lücke und das Datenleck so zu dokumentieren, dass die Sicherheitsforscher:innen juristisch nicht angreifbar sind.

Sowohl vonseiten der EU [3] als auch die Deutsche Bundeswehr [4] gibt es hier bereits etablierte Angebote. Entsprechend haben wir im Rahmen des Cybersicherheitsdialog des BSI [5] im September diesen Jahres das Projekt “B3 - Buntes Bug Bounty” gestartet. Ziel des Projektes ist es, einen ethischen, niedrigschwelligen und rechtssicheren Meldeprozess für Sicherheitslücken und Datenlecks zu entwickeln. Im Rahmen des Vortrags soll der aktuelle Stand der Diskussion vorgestellt und zur Teilnahme an der Diskussion eingeladen werden.

[0] https://pretalx.c3voc.de/hip-berlin-2022/talk/CLCACQ/
[1] media. ccc.de Link wenn die Einreichung online ist
[2] Link zum NPA 124 wenn der dieser im Netz steht.
[3] https://joinup.ec.europa.eu/collection/eu-fossa-2/about
[4] https://www.bundeswehr.de/de/security-policy
[5] https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Leistungen-und-Kooperationen/Digitaler-Verbraucherschutz/Projekt-Dialog-fuer-Cyber-Sicherheit/Dialog-fuer-Cyber-Sicherheit_node.html

Sollte ein:e Sicherheitsforscher:in aktuell eine Sicherheitslücke finden und dabei ggf. auch noch über ein Datenleck stolpern, entstehen eine Reihe von Fragen:

* Habe ich mich strafbar gemacht, wenn ja wie dolle? #Hackerparagraph
* Wem melde ich die Lücke?
* Wem melde ich das Datenleck?
* Kann ich das ethisch vertreten?
* Wie viel Arbeit wird das?

Wie die aktuellen Antworten auf diese Fragen aussehen, was sich verbessern ließe und was passieren müsste, damit das passiert, versuchen wir im Rahmen des Cybersicherheitsdialog des BSI öffentlich zu diskutieren. Dies passiert im Zeitraum von März - September 2023.

Eine erste Vorstellung des Themas gab es im Rahmen der Jahresendveranstaltung 2022 auf der Hacking in Parallel [0][1] und im Rahmen des Netzpolitischen Abend 124 [2] am 07.03.2023.
Geplant ist eine Vortragsreihe im Rahmen des Cybersicherheitsdialog mit verschiedenen Blickwinkeln auf das Thema. Das BSI stellt sich mit seinen Coordinated Vulnerability Disclosure Prozessen der Diskussion, auch andere Perspektiven sollen vorkommen wie die der Open Source Community mit Brian Behlendorf [3] oder die Frage, was bei Bug Bounty Programmen alles falsch gemacht werden kann – mit Katie Moussouris [4].

Um einen echten Dialog zu schaffen, haben wir eine Webseite [5] mit git im Aufbau, um eine offene Diskussion zu ermöglichen und wollen das Thema auf verschiedenen Veranstaltungen vorstellen (re:publica, Troopers, Camp, etc.) und eben auf der easterhegg.

Mehr zum Inhalt:
Die Arbeit von ehrenamtlichen Sicherheitsforscher:innen wird von den Organisationen, deren Systeme betroffen sind, nicht notwendigerweise positiv aufgenommen - siehe CDU Connect-App [6]. Auch kann das Melden von Sicherheitslücken bei Bekanntwerden der meldenden Person für diese zu Repressalien führen wie der Fall der log4j Lücke gegenüber dem Unternehmen AliBaba [7][8].
Ebenfalls ist nicht immer einfach erkennbar, wem eine Lücke und ein entsprechendes Leck zu melden sind:
* der Organisation, die die Software einsetzt?
* der Organisation, die die Software anbietet oder entwickelt?
* Was ist zu tun, wenn es keine security.txt gibt?
* Wendet sich eins an die Adresse im Impressum?
* Im Falle eines Datenlecks, welcher Landesdatenschutzbeauftragte (LfDI) ist zuständig?
* Der des Landes der Filiale, die im Impressum steht, der des Bundeslandes, in dem die Firma ihren Hauptsitz hat?
* Was passiert, wenn das Datenleck an den falschen LfDI gemeldet wird?
* Wieso wollen BfDI und LfDIs wissen, wer ich bin?
* Wie kann ich sicher sein, dass das BSI aus der Lücke keinen Staatstrojaner macht?
etc. etc.

Wie das aus Sicht von Sicherheitsforscher:innen funktioniert, haben Zerforschung und Linus in dem Vortrag: “Deine Software, die Sicherheitslücken und ich” [9] dargestellt.
Damit sich das bessert wollen wir – als konstruktiven Beitrag zur Debatte um Sicherheitsforschung auf Bundes- [10] und Europäischer Ebene [11] dem Bund vorschlagen, dass er Sicherheitsforscher:innen einlädt, Beiträge zur Verbesserung der Informationssicherheit durch Beteiligungsmöglichkeiten für Hacker:innen zu schaffen.

Das wird durch das Ausloben eines “Bunten Bug Bounties” und das Einrichten einer one-stop-shop Meldestelle für Sicherheitslücken und Datenlecks ermöglicht.
Vorbilder gibt es genug, die Bundeswehr [12] und die Niederlande [13] können hier beispielhaft genannt werden. Die Bundeswehr verspricht Sicherheitsforscher:innen, sie nicht anzuzeigen, die Niederlande garantieren, dass die Meldung veröffentlicht werden darf und es gibt ein T-Shirt [14]. Die EU zahlt mit EU-Fossa [15] sogar Geld für Fixes von Lücken in relevanten Open Source Frameworks.
Ziel des Projektes ist es herauszufinden:

* Wie könnte ein entsprechender Prozess aussehen?
* Kann das rechtssicher gestaltet werden?
* Wie passt das mit dem Cyber Resilience Act der EU [16] zusammen?

Im Vortrag wollen wir den aktuellen Stand des Projektes vorstellen und die Community zur Diskussion einladen.
Weiteres Demnächst unter:
www.inoeg.de/b3

[0] https://pretalx.c3voc.de/hip-berlin-2022/talk/CLCACQ/
[1] media. ccc.de Link wenn die Einreichung online ist
[2] Link zum NPA 124 wenn der dieser im Netz steht.
[3] https://de.wikipedia.org/wiki/Brian_Behlendorf
[4] https://en.wikipedia.org/wiki/Katie_Moussouris
[5] www.inoeg.de/b3
[6] https://www.zeit.de/digital/datenschutz/2021-08/cdu-connect-app-it-sicherheit-lilith-wittmann-forscherin-klage
[7] https://winfuture.de/news,127162.html
[8] https://www.scmp.com/tech/big-tech/article/3160670/apache-log4j-bug-chinas-industry-ministry-pulls-support-alibaba-cloud
[9] https://securitytxt.org/
[10] https://media.ccc.de/v/rc3-2021-xhain-278-deine-software-die-si
[11] https://netzpolitik.org/2022/hackerparagrafen-sicherheit-fuer-die-sicherheitsforschung/
[12] https://www.ccc.de/de/updates/2022/zero-day-schwarzmarkt-trockenlegen
[13] https://www.bundeswehr.de/de/security-policy
[14] https://www.government.nl/topics/cybercrime/fighting-cybercrime-in-the-netherlands
[15] https://medium.com/pentesternepal/hacking-dutch-government-for-a-lousy-t-shirt-8e1fd1b56deb
[16] https://joinup.ec.europa.eu/collection/eu-fossa-2/about
[17] https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act