Du hast von mir einen Hinweis bekommen, dass es Sicherheitslücken in deiner Website gibt und fragst dich nun “Warum schreibt der mir?” und vor allem “Schreibt der Kerl in seinem Blog darüber und stellt mich damit an den Online-Pranger?”

Ich will an dieser Stelle gar nicht lange über die unzulänglichen Webagenturen, Webmaster, IT-Web-2.0-High-End-Consultants-mit-tollem-Titel, kurz — Webfuzzies — schwadronieren. Es gibt einfach viele Websites die eklatante Sicherheitsmängel aufweisen, wo die internen Mitarbeiter offensichtlich überfordert sind und die externen Berater nur überbezahlte Bingospieler. (Buzzword-Bingo / de.wikipedia.org)


Ein paar Worte zur Erklärung und Beruhigung.

Wie?

Auf deine Website kann ich über verschiedene Wege gestoßen sein:

• Ich habe nach etwas im Internet gesucht und bin eher per Zufall Suchmaschine auf deine Website gekommen.
• In einem Artikel im Netz wurde deine Seite erwähnt, weshalb ich dich besucht habe.
• Jemand hat bei dir etwas ungewöhnliches (evtl. auch eine Sicherheitslücke) gefunden und mich darauf aufmerksam gemacht.
• Mir hat jemand deine Seite empfohlen und in den höchsten Tönen gelobt.
• oder… oder… oder…

Nimm meinen Hinweis nicht persönlich, ich kenne dich nicht, ich will Dir auch nichts Böses.

Was?

Wenn ich eine Website zum ersten Mal besuche, dann kann ich es einfach nicht lassen, hier und da etwas einzugeben, was eher unerwartet ist:

• In den Suchschlitz mal ein ">xss einwerfen…
• Die URL in der Adresszeile um ' or 1=2 -- erweitern…
• In die Download-URL ein paar ../ einfügen…
• Oder auch mal schauen was http://domain.tld/fileadmin/ auflistet…

Sollte ich bei diesen kleinen Einwürfen etwas ungewöhnliches sehen, was auch relevant im Sinne der IT-Sicherheit ist, so schaue ich noch einmal etwas genauer hin und erweitere ggf. meine Eingaben.

Wohin?

Wenn ich eine Sicherheitslücke in deiner Website ausgemacht habe, dann kontaktiere ich dich per:

• XING, in der Hoffnung dass die XING-Mail nicht in deinem Spamfilter hängen bleibt und Du kannst sofort schauen wer dir schreibt.
• Kontaktformular auf deiner Website, auch wieder in der Hoffnung, dass kein Spamfilter meinen Hinweis frisst.
• Direkte E-Mail von mir, mit der Gefahr, dass dein Spamfiler mich als Extremwerber einstuft, weil ich nicht lange um den heißen Brei herum schreibe, sondern gleich die Exploit-URL übergebe.

Jeweils je nach zu erwartendem Wissensstand, garniert mit Links zu weiteren Informationen, Beispielsweise zu Wikipedia.

Warum?

Wenn ich Kenntnis von Sicherheitslücken habe — so habe ich für mich entschieden — habe ich auch die Pflicht dazu Hinweise zu geben. Dies mag man nun als altruistisch oder gar spinnert einordnen — jeder wie er mag, mir ist es egal. Ich erwarte keinen Dank, da meine Hinweise unaufgefordert kommen, aber ich erwarte Ernsthaftigkeit in der Nachprüfung und Bearbeitung dieser.

Öffentlich?

In der Regel veröffentliche ich meine Funde/Hinweise (ca. 10 Stück pro Woche) nicht, nicht in diesem Blog und auch sonst nirgends. Zum einen möchte ich hier nicht öffentlich den Ankläger und Richter in einer Person spielen, zum anderen können veröffentlichte Sicherheitslücken Cyberkriminelle anlocken. Es gibt allerdings Ausnahmen von dieser Regel.

Wenn ich sicher bin dass mein Hinweis angekommen ist, entweder weil ich eine Rückmeldung per E-Mail oder per Telefon erhalten habe, dann schaue ich nach einigen Wochen wieder auf der Seite vorbei, ob mein Hinweis zur Schließung der Lücke genutzt wurde. Stelle ich dabei fest, dass die Lücke weiterhin besteht, so versende ich weitere Hinweise. Sollten auch wiederholte Hinweise nicht fruchten, so wiege ich ab, ob ein öffentliches Interesse bestehen könnte, die Lücke(n) zu veröffentlichen, weil viele Besucher Opfer von Cyberkriminellen werden könnten. Die Lücken die ich finde, die finden auch andere und diese Menschen haben nicht immer Gutes im Sinn.

Allen voran, Websites von Bund und Länder, Websites von staatlicher Seite sind auf meiner Liste mit erhöhtem öffentlichem Interesse. Hier scheue ich mich dann nicht, die Lücken in meinem Blog zu beschreiben. Aber auch hier vergehen viele Wochen oder Monate bis ich mich dazu durchringen kann, sie der Öffentlichkeit zu präsentieren. Der Staat hat eine ganz besondere Verantwortung, auch in Anbetracht des verlorenen Vertrauens durch die Vorratsdatenspeicherung und die weiterhin geforderten Netzsperren.

Privatwirtschaftliche Websites mit hohem öffentlichem Interesse schließen die von mir gemeldeten Lücken meist sehr schnell, da hier natürlich auch wirtschaftliche Interessen eine große Rolle spielen. Verlorenes Kundenvertrauen kann sich hier sehr schnell in sinkenden Umsatzzahlen widerspiegeln. Bisher gab es bei Unternehmen kaum einen Grund die Öffentlichkeit als Druckmittel einzusetzen.

Kosten?

Dich kostet mein Hinweis nichts. Ich will nichts von Dir, ich möchte nur dass die Lücken geschlossen werden. Trage auch Du einfach deinen Teil dazu bei das Internet etwas sicherer zu machen. Danke.