Hacker verdienen gut mit dem Aufspüren von Softwarelücken. Aber Apple verweigert solche Belohnungen. Bekam die amerikanische Regierung deshalb Hilfe im Entschlüsselungsstreit?
Die amerikanische Regierung hat sich lange auf die Position gestellt, nur mit Hilfe des Elektronikkonzerns Apple das iPhone eines der beiden Attentäter knacken zu können, die im Dezember im kalifornischen San Bernardino 14 Menschen getötet haben. Das war offenbar eine Fehleinschätzung, denn nun ist es dem Justizministerium und der zu ihm gehörenden Bundespolizei FBI gelungen, sich mit Unterstützung einer „außenstehenden Partei“ Zugang zu dem Gerät zu verschaffen. Deren Identität hält die Regierung geheim, aber in der Sicherheitsbranche ist zu hören, dass es sich um das israelische Unternehmen Cellebrite handeln soll. Viele andere Fragen bleiben offen: So ist unklar, mit welcher Methode der Partner der Regierung das iPhone entschlüsseln konnte und ob auf dem Gerät nützliche Informationen gefunden worden sind, die den Behörden bei ihren Ermittlungen helfen könnten. Und warum ging das Unternehmen, dem die Entschlüsselung gelang, mit seiner Methode zur Regierung und nicht zu Apple? Die Existenz eines solchen Verfahrens suggeriert, dass Apple-Geräte nicht unverwundbar sind, und dem Konzern dürfte daran gelegen sein, etwaige Schwachstellen zu kennen. Es ist dagegen keineswegs gewiss, ob die Regierung Apple über die Methode ihres Partners aufklären wird. Täte sie dies, würde sie womöglich ein Instrument aus der Hand geben, mit dem sie sich Zugang zu iPhones verschaffen kann, da Apple vermutlich versuchen würde, diese Angriffsfläche zu eliminieren.
„Das FBI zahlt wahrscheinlich mehr Geld,“ so erklärt Casey Ellis, der Gründer des kalifornischen Sicherheitsspezialisten Bugcrowd, warum die Regierung einen willigen Partner gefunden hat, um die Verschlüsselungsmechanismen für das fragliche iPhone auszuhebeln. Tatsächlich kann das Aufspüren von Sicherheitslücken und deren Verkauf ein lukratives Geschäft sein. „Das ist ein reiner Marktplatz“, sagt Ellis. Zu den Abnehmern für solche Sicherheitsdienste gehören Regierungen ebenso wie große Technologiekonzerne.
Dabei geht Apple allerdings einen anderen Weg wie viele andere Unternehmen, und das könnte nach Einschätzung von Ellis in aktuellen Entschlüsselungsstreit der Regierung geholfen haben. Viele große Technologieunternehmen versuchen aktiv, die Hackerszene und andere Sicherheitsspezialisten dazu zu ermutigen, Schwachstellen in ihren Produkten zu finden, und sie setzen dazu finanzielle Belohnungen aus. In der Branche werden solche Initiativen „Bug Bounty“-Programme genannt, also Kopfgeldprogramme für Sicherheitslücken. Google zum Beispiel hat schon seit dem Jahr 2010 ein solches Programm und hat seither sechs Millionen Dollar an außenstehende Sicherheitsexperten ausbezahlt, die Schwachstellen aufgespürt haben. Microsoft hat im vergangenen Jahr das maximale Preisgeld für gefundene Sicherheitslücken von 50000 auf 100000 Dollar erhöht. Der Fahrdienst Uber hat erst in der vergangenen Woche ein „Bug Bounty“-Programm gestartet. Besonders aktive Hacker können dabei laut Uber dank eines „Loyalitätssystems“ auf Bonuszahlungen hoffen.
Anders als diese Unternehmen hat Apple kein solches Kopfgeldprogramm. Wer Sicherheitslücken findet, kann dies dem Konzern zwar melden, aber auf kein Geld hoffen. Bugcrowd-Gründer Ellis erklärt sich dies damit, dass dem für seine Verschwiegenheit bekannten Unternehmen die Öffentlichkeitswirkung solcher Programme missfallen könnte. Er hält Apples Haltung für falsch: „Verwundbar zu sein, ist immer eine schlechte Sache.“ Das Fehlen eines finanziellen Anreizes könnte nach seiner Meinung auch im aktuellen Entschlüsselungsstreit dazu beigetragen haben, Sicherheitsexperten in die Arme der Regierung zu treiben. Das FBI bekam nach eigener Aussage sogar eine ganze Reihe von Hilfsangeboten. „Viele Leute sind mit Ideen zu uns gekommen,“ sagte FBI-Direktor James Comey kürzlich.
Während sich Apple gegen Belohnungen sträubt, gibt es andere Unternehmen, die finanzielle Anreize für Apple-Produkte setzen. So schrieb der Sicherheitsspezialist Zerodium aus Washington im vergangenen Jahr einen Preis von einer Million Dollar für eine Schwachstelle in der aktuellen Version des Betriebssystems iOS für das iPhone aus. „Apple’s iOS ist derzeit das sicherste mobile Betriebssystem. Aber täuscht Euch nicht, sicher heißt nicht unüberwindbar,“ hieß es damals in einem Blogeintrag des Unternehmens. Weniger als sechs Wochen nach Ausrufes des Wettbewerber wurde die gewünschte Sicherheitslücke geliefert, und ein Team gewann den ausgeschriebenen Preis.
Der öffentlichkeitswirksame Streit zwischen Apple und dem FBI könnte den Ehrgeiz der Hackerszene nach Einschätzung von Bugcrowd-Gründer Ellis weiter anstacheln. So habe er selbst in den vergangenen Wochen viel mehr Anfragen von Sicherheitsexperten bekommen, die für Bugcrowd arbeiten wollen. „Das zeigt, wie attraktiv der Markt ist.“
Folgen Sie mir auf Twitter
Titel eingeben
Diese ganzen Geschäfte und Entwicklungen rund um die Computerprogramme kann ich eigentlich nur noch als pervers bezeichnen. Allein wenn man sieht, was Google mit den aus den Suchbegriffen gewonnenen Daten für Geschäfte betreibt, fehlen einem eigentlich die Worte. Der Bürger wird gläsern oder er ist es schon. Ich frage mich, da wir nach wie vor noch am Anfang dieser Entwicklungen stehen, ob es auf Dauer zum Vorteil der Menschen sein wird.