Oberster Gerichtshof bietet Gerechtigkeit für Cybersecurity-Bedrohungsjäger
Optionen

Die Cybersicherheits-Community lobt ein kürzlich ergangenes Urteil des Obersten Gerichtshofs der USA, das die rechtlichen Hindernisse für die Jagd auf Bedrohungen verringert. "Die Van-Buren-Entscheidung ist eine besonders gute Nachricht für Sicherheitsforscher, deren Arbeit zur Aufdeckung von Sicherheitslücken für das öffentliche Interesse von entscheidender Bedeutung ist, die aber oft den Zugang zu Computern auf eine Weise erfordert, die gegen die Nutzungsbedingungen verstößt", so die Electronic Frontier Foundation (EFF). [1]

Das Gericht schränkte den Anwendungsbereich des 35 Jahre alten Computer Fraud and Abuse Act (CFAA) effektiv ein, der die Arbeit von Cybersecurity-Bedrohungsjägern unter Androhung potenzieller straf- und zivilrechtlicher Haftung erschwert hatte. "Sicherheitsforscher haben jahrzehntelang in einer rechtlichen Grauzone operiert, weil das Gesetz in seiner jetzigen Fassung ihre Arbeit der Strafverfolgung aussetzt, selbst wenn das Ziel die Verbesserung der Cybersicherheit ist", heißt es in einem Bericht. [2]

Das Gesetz und die Jagd nach Cybersecurity-Bedrohungen

Das CFAA wurde zur strafrechtlichen Verfolgung von Hunderten von Hackern auf hohem und niedrigem Niveau verwendet und hat oft zu Kontroversen geführt, wie Wired berichtete. [3] Die Bestimmungen decken eine Reihe von Straftaten ab, von unbefugtem Eindringen in Computer bis hin zu Beschädigung, Betrug und Diebstahl.

Der Fall, mit dem der Oberste Gerichtshof befasst wurde, betraf eine scheinbar nicht verwandte Angelegenheit, bei der es um den Umgang eines Polizisten mit Strafverfolgungsdaten ging. Er warf jedoch eine umfassendere Frage auf - nämlich die, was es bedeutet, wenn der autorisierte Zugang zu einem Computersystem überschritten wird. "Die Auslegung des Gesetzes durch die Regierung würde eine atemberaubende Menge an alltäglichen Computeraktivitäten mit strafrechtlichen Sanktionen belegen", urteilten die Richter. [4]

Bei der Anwendung auf Sicherheitsforscher hat diese Auslegung des CFAA auf jeder Stufe eine abschreckende Wirkung gehabt: "Von der Durchführung von Sicherheitsforschung über die Offenlegung von Sicherheitslücken, die sie entdecken, bis hin zur Veröffentlichung von Sicherheitslücken, wenn Unternehmen sich weigern, sie zu flicken", so die EFF vor dem Obersten Gerichtshof. "Das Ergebnis dieses perversen Anreizsystems ist, dass entdeckte Sicherheitsschwachstellen unentdeckt oder ungepatcht bleiben und effektiv darauf warten, dass Angreifer sie finden und ausnutzen."

Nun wird die Entscheidung des Obersten Gerichtshofs dazu beitragen, die Sicherheitsforschung im öffentlichen Interesse zu schützen. Aber es ist noch mehr nötig, so das Knight First Amendment Institute der Columbia University. Der Kongress sollte das CFAA ändern, um alle verbleibenden Unsicherheiten zu beseitigen und einen sicheren Hafen für Forscher zu schaffen, so das Institut. [5]

Die Auswirkungen von CFAA in der realen Welt

Cybersecurity-Forscher sagten, dass das CFAA wie ein Schwert über ihren Köpfen schwebt, selbst wenn ihr Beruf im Laufe der Zeit strukturierter, respektabler und lukrativer geworden ist.

Einerseits haben viele in der Regierung, der Industrie und der Cybersicherheits-Community - darunter auch die Bedrohungsjäger von Mimecast - für beide Seiten vorteilhafte Vereinbarungen getroffen, die die Sicherheitsforschung finanziell unterstützen und sogar einen Anreiz bieten. Einige der weltgrößten Technologieunternehmen führen so genannte "Bug Bounty"-Programme durch, bei denen Cybersecurity-Bedrohungsjäger eingeladen werden, sich verantwortungsvoll in ihre Systeme zu hacken und sie über etwaige Schwachstellen zu informieren. Dies gilt auch für das US-Verteidigungsministerium. [6]

Facebook zum Beispiel feierte im November den zehnten Jahrestag seines Bug-Bounty-Programms und nannte mehr als 130.000 Entdeckungen, von denen fast 7.000 mit einem Kopfgeld belohnt wurden (insgesamt etwa 2 Millionen Dollar allein im Jahr 2020). [7] Das Unternehmen bedankt sich für verantwortungsvolle Enthüllungen und gibt Richtlinien für die Auszahlung bestimmter Arten von Entdeckungen bekannt. [8]

Andere Unternehmen ignorieren jedoch weiterhin die Ergebnisse der Bedrohungsjäger oder drohen mit Klagen gemäß dem CFAA. "Selbst wenn einige Unternehmen ihre Wertschätzung für die Arbeit unabhängiger Sicherheitsforscher zum Ausdruck gebracht haben, haben sich andere als schnell bereit erwiesen, gegen sie vorzugehen", erklärte die EFF dem Gericht. [9]

In einem Fall hat eine führende Kreditauskunftei eine gemeldete Schwachstelle monatelang ignoriert, so die EFF, und Angreifer haben schließlich die persönlichen Daten von fast 150 Amerikanern gestohlen. In einem anderen Fall wurde ein Sicherheitsforscher von einem Unternehmen für Wahltechnologie an das FBI gemeldet.

Cybersecurity-Bedrohungsjäger im Profil

Die Suche nach Cybersecurity-Bedrohungen nutzt die Macht des Crowdsourcing, technologische Fähigkeiten und andere Vorteile, um die zunehmenden Cyberrisiken zu bekämpfen.

Inmitten der Pandemie zum Beispiel "haben sich Hacker den Herausforderungen des vergangenen Jahres gestellt, von der Unterstützung von Unternehmen bei überstürzten digitalen Transformationen bis hin zum Einsatz von mehr Zeit für den Schutz von Gesundheitsdienstleistern", so der Hacker-Report 2021. [10] Der Bericht, der von der Bug-Bounty-Plattform HackerOne veröffentlicht wurde, zeichnet das folgende Bild der Bedrohungsjagd in der Praxis:

• 1 Million Bedrohungsjäger sind auf der Plattform registriert, die damit eine der größten ist.
• Im Jahr 2020 haben sie insgesamt 40 Millionen Dollar eingenommen.
• 85 % der Hacker geben an, dass sie es tun, um zu lernen; 76 % tun es wegen der Prämien; und 62 % hacken, um ihre Karriere voranzutreiben.
• 82 % von ihnen arbeiten in Teilzeit.
• 37 % haben Informatik auf postgradualer Ebene studiert.
• 27 % haben einen Fehler nicht gemeldet, weil sie bereits negative Erfahrungen mit dem betreffenden Unternehmen gemacht haben.

Viele Cybersicherheitsunternehmen melden auch Sicherheitsmängel an große Technologieplattformen, da sie die Umgebung nach Bedrohungen für ihre Kunden durchsuchen. Mimecast zum Beispiel hat mehrere verantwortungsvolle Meldungen an andere Unternehmen gemacht und fordert zur verantwortungsvollen Meldung von Schwachstellen in seinen eigenen Systemen und Diensten auf.

Die Quintessenz

Nach einem kürzlich ergangenen Urteil des Obersten Gerichtshofs stehen der Arbeit von Cybersecurity-Bedrohungsjägern - dem Aufspüren und verantwortungsvollen Melden von Sicherheitslücken in Technologien und Netzwerken von Unternehmen - weniger rechtliche Hindernisse entgegen. Das Gerichtsurteil ist ein wichtiger Meilenstein in der Entwicklung der Crowdsourced Security in einer Zeit steigender Cyberrisiken.

[1] " Van Buren ist ein Sieg gegen überzogene Auslegungen des CFAA und schützt Sicherheitsforscher ," Electronic Frontier Foundation

[2] " Der Oberste Gerichtshof wird seinen ersten großen CFAA-Fall anhören ," TechCrunch

[3] " Die umstrittensten Hacking-Fälle des letzten Jahrzehnts ," Wired

[4] " Van Buren v. United States ," U.S. Supreme Court

[5] " Kommentare zur Entscheidung des Obersten Gerichtshofs im Fall Van Buren gegen die Vereinigten Staaten ," Knight First Amendment Institute

[6] " Hack the Army 3.0 fördert innovatives Bug Bounty Programm zum Schutz von Netzwerken und Daten ," U.S. Army

[7] " Anlässlich des 10-jährigen Bestehens unseres Bug Bounty-Programms ," Facebook

[8] " Danke! ," Facebook

[9] " Brief of Amici Curiae ," Electronic Frontier Foundation

[10] " Der Hacker-Report 2021 ," HackerOne