Partner von
Partner von

HackerOne

Im Grunde seines Herzens sei der Mensch gut. Mit dieser Überzeugung will HackerOne das Internet sicherer machen. Und Geld verdienen.




• Des Internets letzte Hoffnung sind die Hacker. Lasst sie ungehindert einbrechen, die Schwachstellen der wichtigsten Netze aufspüren, Datenbanken und Bezahlsysteme infiltrieren; nutzt ihre Kreativität, statt ihnen die Polizei auf den Hals zu hetzen – und zahlt ihnen einen Finderlohn für jeden Fehler, den sie finden.

Dies ist die Botschaft des Start-ups HackerOne, das seit Mai 2014 über eine Internet-Plattform Hacker und Unternehmen zusammenbringt: Die Firma will mithilfe geballter Intelligenz Cyberkriminalität bekämpfen.

Noch vor wenigen Jahren hätten sich die meisten Sicherheitschefs an die Stirn getippt, wenn ihnen jemand von diesem Konzept erzählt hätte: Fremde sollen in unseren Netzen herumpfuschen? Niemals! Doch HackerOne trifft den Nerv der Zeit, denn angesichts immer ausgeklügelterer Angriffe suchen Unternehmen mittlerweile händeringend nach neuen Lösungen.

Inzwischen sind etwa 2000 IT-Fachleute auf der Website aktiv und halfen, 14 000 Sicherheitslücken zu schließen. Die Firma wächst jeden Monat um zehn Prozent und zahlte bislang bereits knapp fünf Millionen Dollar in Bug Bountys aus, wie die Prämien für das Finden von Sicherheitslücken genannt werden. Ein Großteil des Geldes ging an etwa hundert besonders emsige Hacker.

Zum Kundenkreis gehören neben Yahoo, Twitter, Snapchat und Airbnb auch Banken, Ölfirmen, Versandhäuser und Hunderte kleinerer Firmen. Der Erfolg zeigt, dass sich immer weniger Unternehmen gerüstet fühlen, den Attacken allein standzuhalten. Und wer könnte da besser helfen als die Leute, die auf Attacken spezialisiert sind?

In einem überfüllten Großraumbüro in der Innenstadt von San Francisco befindet sich die Zentrale. Das übliche Start-up-Szenario: junge Menschen vor Bildschirmen, eine Küchenecke, in der sich Tassen und Teller stapeln. Alles wirkt improvisiert, so, als könne das gesamte Inventar in 30 Minuten eingepackt werden.

In der Silicon-Valley-Sprache ist HackerOne das, was man eine „sexy Story“ nennt. In zwei Finanzierungsrunden sammelte die Firma 34 Millionen Dollar von den namhaftesten Risikokapitalgebern ein. Der Chef und Mitbegründer Merijn Terheggen erklärt die Grundlage seines Geschäftes: „Alle zwei Jahre verdoppelt sich die Leistung der Chips in unseren Geräten. Alle paar Monate verdoppelt sich die Komplexität unserer Anwendungen. Also steigt die Zahl der Sicherheitslücken exponentiell an. Die Firmen investieren heute mehr Geld denn je in ihre Computer-Sicherheit und haben trotzdem immer größere Probleme.“ Seine Schlussfolgerung: „In 18 bis 24 Monaten werden alle größeren Unternehmen auf der Welt eine Form von Bug-Bounty-Programm entwickelt haben. Und wir sind als Marktführer in der besten Position, ihnen dabei zu helfen.“

Gefährlicher Markt

Terheggen stammt aus den Niederlanden und hat bereits mehrere Firmen in Kalifornien gegründet. 2011 traf er in Amsterdam die Hacker Michiel Prins und Jobert Abma. „Sie waren 20 und 21 Jahre alt und schon Veteranen in der Szene. Die beiden waren so unfassbar brillant, dass es mich fast schon nervte“, sagt Terheggen. Prins und Abma waren in die Systeme von hundert Technologiekonzernen eingedrungen und hatten überall Schwachstellen entdeckt. Sie nannten die Liste dieser Firmen „Hack 100“. Als sie die jeweiligen Sicherheitschefs darüber informierten, nahm nur ein Drittel von ihnen Kontakt auf, um die Lücken zu schließen.

Sheryl Sandberg, Geschäftsführerin von Facebook, druckte die E-Mail der beiden Niederländer aus und reichte sie weiter an den damaligen Sicherheitschef Alex Rice. Der lud Prins und Abma zum Essen ein, zahlte ihnen eine Bug Bounty von 4000 Dollar und ließ sich von ihnen auch weiterhin helfen. Ein Jahr später gründete er mit Prins, Abma und Terheggen HackerOne.

Likte die Hacker: der ehemalige Facebook-Sicherheitschef Alex Rice
Mit 20 schon Veteran: der Superhacker Michiel Prins

In diesem Jahr feiert der Film „Hackers“ sein 20-jähriges Jubiläum, doch mit dem romantischen Image von damals hat die heutige Szene nichts gemein. „Wir sehen immer häufiger kleine Gruppen oder einzelne Kriminelle, die Fähigkeiten haben, die früher nur staatliche Institutionen hatten“, sagt Michael V. Hayden, ehemaliger Direktor der National Security Agency (NSA).

Im Oktober berichtete die »Washington Post« von einer Truppe namens Kosova Hacker’s Security (KHS). Sie hatte über die Website eines US-Onlinehändlers die persönlichen Daten von 100 000 Kunden gestohlen, darunter 1351 Angestellte des Militärs. Diese Daten verkaufte KHS meistbietend: an den Islamischen Staat (IS). Junaid Hussain, ein britisches IS-Mitglied verbreitete die Informationen inklusive Adressen und Telefonnummern mit dem Hinweis: „Unsere Kämpfer werden euch in eurem eigenen Land zerschlagen.“ Der Anführer von KHS wurde in Malaysia festgenommen und Hussain bei einem Drohnenangriff in Syrien getötet.

Saubere Alternative

Im Internet tobt ein Krieg, dessen Schlachtfelder unsichtbar sind. Alle Systeme werden angegriffen, rund um die Uhr. Terheggen sagt: „Jedes Netzwerk wird getestet. Nur wissen wir nicht von wem, und wir bekommen die Ergebnisse erst mit, wenn es zu spät ist.“ Der Einzelhandelsgigant Target erfuhr von einem Programmierfehler erst, als 40 Millionen Kundendaten gestohlen worden waren. Sony und das US-Verteidigungsministerium, die amerikanische Tochter der Deutschen Telekom oder Fiat Chrysler wurden Opfer spektakulärer System-Einbrüche. Sie befinden sich in einem permanenten Verteidigungsmodus – dabei wissen sie nicht einmal, woher die Angreifer kommen und wie weit sie vordringen.

Der Telekommunikationskonzern Verizon analysierte Tausende Attacken und stellte fest: Bei 60 Prozent im Jahr 2015 konnten die Eindringlinge innerhalb weniger Minuten Schaden anrichten. Doch ob die Angriffe von der NSA, einem gelangweilten Jugendlichen in Südafrika oder gar von den eigenen Mitarbeitern ausgehen, lässt sich in den wenigsten Fällen sagen.

„Jede Technik hat Schwächen“, sagt Alex Rice, „und wenn du keinen Anreiz für Hacker schaffst, dir die Schwächen auf legalem Weg mitzuteilen, wirst du eben von den Schwachstellen durch Attacken aus dem schwarzen Markt erfahren.“

Das Prinzip der Bug Bountys beruht darauf, dass der Mensch im Grunde gut ist – oder zumindest die Mehrheit der Menschen. Dan Kaminsky, ein Star der Szene oder „Sicherheitsforscher“, wie sich viele Hacker nennen, sagt: „Als die ersten solcher Programme eingeführt wurden, hatte ich befürchtet, die Leute würden die Firmen erpressen. Ich bin erstaunt, wie zivilisiert es bislang läuft. Bug-Bounty-Programme helfen besonders kleinen Firmen, die sich keine eigene Sicherheitsabteilung leisten können und jetzt auf einen globalen Talent-Pool zugreifen können.“

Es gibt 18,5 Millionen Programmierer auf der Welt, und Terheggen schätzt, dass 99 Prozent von ihnen keine bösen Absichten hegen. Eine Sicherheitslücke zu entdecken und die entsprechende Information zu verkaufen ist nicht illegal. Strafbar macht sich nur, wer Schaden anrichtet oder gegen die Regeln verstößt, die jedes Unternehmen für sich definiert. Die meisten hacken aus Spaß am Nervenkitzel, haben aber kein Interesse daran, ihre Erkenntnisse an Diktatoren oder Terroristen zu verkaufen.

Zu den jungen Männern, von denen Terheggen spricht, zählt Olivier Beg aus Amsterdam. Der 18-Jährige wohnt noch bei seinen Eltern, geht zur Schule und hat bereits 45 000 Dollar durch HackerOne verdient. Auf dem Schwarzmarkt hätte er für seine Dienste weit mehr bekommen, doch er sagt: „Ich gebe niemandem Informationen, von dem ich nicht weiß, was er damit tut. Einmal bot mir jemand von der Regierung 3000 Dollar für einen kleinen Fehler bei dem Blog-Service Wordpress. Ich habe abgelehnt.“ Beg ist zudem froh, dass er legal, unkompliziert und transparent Kontakt zu den Firmen aufnehmen kann, in die er eingedrungen ist.

Die Besten gewinnen

Kaum jemand kann besser erklären als Katie Moussouris, wie Bug-Bounty-Programme funktionieren. Einst entwickelte sie ein solches bei Microsoft – gegen heftigen Widerstand aus dem Management. Heute trägt sie den Titel Chief Policy Officer bei HackerOne.

Zunächst muss man verstehen, wie das Geschäft mit Computerhacks – die „Vulnerability Economy“ – funktioniert. Auf dem „defensiven Markt“ operieren die Akteure, die Informationen über Systemfehler kaufen, um sie den betroffenen Unternehmen anzubieten. Das können auch Broker sein, die im Auftrag von Firmen bestimmte Informationen vom Markt nehmen, damit sie keinen Schaden anrichten können. Auch Bug-Bounty-Programme gehören in diese Kategorie. Üblicherweise werden zwischen 500 und 20 000 Dollar pro Hack gezahlt. In Einzelfällen haben Microsoft und Facebook auch schon mehr als 100 000 Dollar überwiesen.

Auf dem offensiven Markt handeln vor allem Staaten und das organisierte Verbrechen. Moussouris sagt, sie habe dort Geschäftsmodelle kennengelernt, „bei denen Käufer siebenstellige Vorschüsse zahlen und den Hackern je nach Beutelage Hunderttausende Dollar zusätzlich überweisen“. Es gehe vor allem darum, Systemfehler so lange wie möglich vom defensiven Markt fernzuhalten, um sie länger ausnutzen zu können.

Here’s where the magic happens: ein „Sicherheitsexperte“ von HackerOne bei der Arbeit

Und auf dem grauen Markt tummeln sich Händler, die Informationen aufkaufen, um sie je nach Angebot in den defensiven oder offensiven Markt weiterzureichen. Meistens in Verbindung mit einer Art Abonnement auf regelmäßige Lieferung von Systemfehlern, für das der Kunde jährlich Hunderttausende Dollar überweist.

Das Argument gegen Bug Bountys, das Moussouris’ Vorgesetzte bei Microsoft anführten, lautete: Wir werden niemals mit diesen Märkten konkurrieren können, denn wir können keine Millionen bezahlen. Doch sie stellte klar, dass ihr Programm nicht auf ein Wettbieten angelegt sei. Vielmehr ginge es darum, den Hackern einen Anreiz zu bieten und die klassische Vulnerability Economy infrage zu stellen. „Wenn wir die erste Anlaufstelle für Hacker werden, können wir mehr und schneller über unsere Produkte lernen“, sagt Moussouris, „Je schneller wir Fehler beheben, desto schneller können wir den offensiven Markt für diese Fehler austrocknen. Langfristig können wir auf diese Weise eine enge Beziehung herstellen mit einigen der klügsten Programmierer der Welt.“ Geld sei für die meisten Hacker nicht die wichtigste Motivation. Moussouris wundere sich immer wieder, wie viele Idealisten sie treffe.

Nach ihrer Schätzung, die auf persönlichen Eindrücken basiert, sind etwa tausend Hacker weltweit in der Lage, Systemfehler komplexester Art auszunutzen. Die Hälfte dieser Leute arbeite für die Defensive, obwohl es dort wenig zu verdienen gebe. Das Ziel aller Bug-Bounty-Programme ist es, die Superhacker davon zu überzeugen, ihr Talent nicht in den Dienst dunkler Machenschaften zu stellen.

Im Sommer 2013 startete Microsoft sein Bug-Bounty-Programm, kurz bevor der Konzern den Internet Explorer 11 veröffentlichte. Einen Monat später wurden 23 Fehler gemeldet, von denen jeder einzelne auf dem offensiven Markt mindestens sechsstellige Summen eingebracht hätte.

Die Idee ist nicht neu. Netscape hatte sie bereits um das Jahr 1996. Doch seitdem traute sich niemand, das Konzept in großem Stil umzusetzen. Das wird HackerOne nun tun. Der gelernte Neurowissenschaftler Terheggen sagt: „Wenn wir es schaffen, die Intelligenz von Tausenden Hackern aus aller Welt zu vernetzen, können wir das Wettrennen mit dem offensiven Markt besser aufnehmen.“ Die Anmeldung auf Hackerone.com ist für beide Seiten kostenlos. Jeder Hacker kann mit jedem Unternehmen Kontakt aufnehmen, sobald er eine relevante Sicherheitslücke gefunden hat.

In einem sogenannten Workflow-Programm, das jeden Arbeitsschritt dokumentiert, tauschen sich Hacker und Sicherheitsexperten des jeweiligen Unternehmens aus. Wenn der Fehler behoben ist, veröffentlicht HackerOne dieses Protokoll – um andere Hacker zu inspirieren und die dunklen Märkte darüber zu informieren, dass dieser Bug nicht mehr handelbar ist. Die Hacker werden dabei nach der Qualität ihrer Arbeit und ihrer Zuverlässigkeit bewertet. Momentan auf Platz eins: Mark Litchfield aus Las Vegas.

Die Höhe der Prämie bestimmt der Markt. Je großzügiger das Unternehmen, desto höher die Chance, dass die Besten dessen Systeme prüfen. Mit der Größe des gelösten Problems steigt die Bezahlung. Die meisten Prämien für Standard-Bugs liegen im dreistelligen Bereich. „Aber die besten Hacker bei uns können von ihrem Einkommen leben“, sagt Terheggen.

HackerOne verlangt von den Unternehmen 20 Prozent der Prämie. Damit deckt die Firma Steuern und Überweisungskosten der Hacker, die manchmal beträchtlich sein können. Einige der besten leben in entlegenen Regionen Sibiriens oder Pakistans.

Einziger deutscher Kunde ist Zalando. Der Onlinehändler arbeitet seit März 2015 mit der Firma zusammen. Der Sicherheitschef Christian Matthies ist zufrieden: „Es hat eine Plattform gefehlt, auf der sich Firmen und Hacker in geregelter Form austauschen können. Wir haben eine Liste mit konkreten Problemen aufgestellt, etwa der Kreditkartensicherheit, und konnten eine ganze Reihe von Schwachstellen dank HackerOne beheben.“ Zalando zahlt bis zu 10 000 Dollar pro Bug. Doch er sagt auch, dass solche Programme kein Allheilmittel seien. „Weil sie reaktiv funktionieren, erst nachdem ein Produkt auf dem Markt ist.“ Noch wichtiger als Bug-Bounty-Programme einzuführen, sei es, die Mitarbeiter besser zu schulen, dass sie schon beim Programmieren auf Sicherheit setzen. Die Hacks mit den schlimmsten Folgen – bei Sony oder dem US-Verteidigungsministerium zum Beispiel – waren erst durch Helfer aus den eigenen Reihen möglich. Matthies sagt, ein wichtiger Aspekt der Datensicherheit werde sträflich unterschätzt: die eigenen Mitarbeiter zu prüfen und den Zugang zu sensiblen Daten zu minimieren.

Warum deutsche Unternehmen solchen Programmen eher skeptisch gegenüberstehen, kann Matthies nicht beantworten. Im Jahr 2012 hackten Wissenschaftler eine weitverbreitete Wegfahrsperre. Der Volkswagen-Konzern wollte per Klage erreichen, dass die Entdecker über das Problem schweigen. „Doch die Lösungen der Vergangenheit funktionieren in unserer Welt nicht mehr“, sagt Jay Kaplan, Gründer der Sicherheitsfirma Synack. „Um mit den Hackern Schritt zu halten, brauchst du eine Menge Leute von außen, die dein System ständig prüfen. Ohne Bug-Bountys funktioniert das nicht.“

Die Großen denken um

In Russland haben sich die meisten nennenswerten Internetfirmen HackerOne angeschlossen; und in den USA betreibt selbst ein eher konservatives Unternehmen wie United Airlines ein Bug-Bounty-Programm und zahlte die Top-Prämie von einer Million Bonusmeilen bereits einmal aus. Matthies hat aber auch Verständnis für die Zögerer. „Stell dir vor, du bist eine Bank. Würdest du freiwillig Leute einbrechen lassen, nur um herauszufinden, ob deine Alarmanlage funktioniert? Wir bewegen uns mit Bug-Bounty-Programmen immer noch in einer Grauzone.“

Doch offenbar haben immer mehr Firmen genug davon, sich wie eine Bank zu fühlen, in die täglich Hunderte Gangster einbrechen. Das kann man daran ablesen, wie viele mächtige Konkurrenten auf HackerOne zurückgreifen. Google hat nicht nur begonnen, großzügige Belohnungen zu zahlen, der Konzern startete zudem das Project Zero. Eine Gruppe von fest angestellten Spitzen-Hackern spürt neben dem eigenen System auch überall im Internet Schwachstellen auf. Innerhalb weniger Wochen fanden sie Fehler bei Adobe, dem Verschlüsselungsprogramm Truecrypt und anderer Sicherheits-Software. „Jeder soll das Internet nutzen können, ohne sich zu fürchten“, sagt Chris Evans, Gründer des Project Zero. „Wir haben Schwachstellen behoben, die nachweislich von staatlichen Organen ausgenutzt wurden, um Menschenrechtler oder Betriebe auszuspionieren.“

Bei Apple entdeckten die Hacker signifikante Schwachstellen und veröffentlichten nach einer Schonfrist von 90 Tagen einige davon, bevor der iPhone-Hersteller die Lücken geschlossen hatte. Apple ist einer der wenigen Großen, die noch kein solches Programm haben – obwohl Experten sagen, dass etwa der sogenannte Fappening-Skandal, bei dem Prominenten-Nacktbilder aus ihrer iCloud gestohlen wurden, auf diese Weise hätte verhindert werden können. Doch Apple zögert, weil die Schwachstellen auf dem offensiven Markt für derart hohe Summen gehandelt werden, dass die Prämien zu teuer seien, heißt es.

Bleibt noch eine Frage an Merijn Terheggen: Ist HackerOne jemals gehackt worden? „Nein, natürlich nicht“, sagt er. „Unsere Plattform wurde von den besten Hackern der Welt entwickelt. Und ganz bestimmt testen alle, die dort arbeiten, ständig das System. Unsere Plattform ist der heilige Gral der Computersicherheit.“ Terheggen weiß allerdings auch, dass diese Behauptung nur so lange gilt, bis ein Hacker aus einem Dorf in Pakistan oder in einem Internet-Café in Bogotá das Gegenteil beweist. ---