5112959

Sicherheit im sozialen Netzwerk: Facebooks Kopfgeldstrategie

Facebook bezahlt Hacker seit kurzem für das Aufdecken von Sicherheitslücken. Die Idee ist aber weder neu noch unumstritten.

So löchrig wie Facebook? Bild: Photocase / zettberlin

BERLIN taz | Wer es schafft, die Schutzmauern von Facebook zu durchbrechen, wird seit neuestem von dessen Betreibern belohnt. Über 40.000 US-Dollar hat das Unternehmen nach eigenen Angaben seit Ende Juli an Hacker gezahlt, die Sicherheitslücken im Netzwerk gefunden und gemeldet haben. Hinweisgeber erhalten mindestens 500 Dollar pro aufgedecktem Problem, schreibt Sicherheitschef Joe Sullivan im Facebook-Blog. "Für einen einzelnen wirklich guten Hinweis haben wir sogar bereits 5.000 Dollar gezahlt."

Die Sicherheit von Facebook, vor allem die der privaten Daten von mittlerweile über 700 Millionen Nutzern, war in den vergangenen Jahren immer wieder Thema der öffentlichen Diskussion. Erst Mitte August hatte die Webaktivisten-Gruppe Anonymous in einem Youtube-Video zu einem Großangriff gegen das Netzwerk aufgerufen.

Wer mit Facebooks sogenanntem Bug Bounty Programm Geld verdienen will, muss ein paar Bedingungen erfüllen. Fündige User dürfen die Lücke nicht öffentlich machen bis die Facebook-Betreiber auf den Hinweis reagiert haben. Nach Möglichkeit sollen sie Datenverluste und Verletzungen von Privatsphären vermeiden. Mit Usern aus 16 verschiedenen Ländern hat das Netzwerk laut Sullivan schon kooperiert.

Wer allerdings in Staaten wie Kuba oder Libyen wohnt, die von den USA sanktioniert werden, kann nicht am Bug Bounty Programm teilnehmen. Außerdem gilt das Programm nur für Anwendungen, die direkt von Facebook stammen und nicht von den zahllosen anderen Anbietern, die das Netzwerk nutzen.

Außergewöhnlicher Ansatz?

Sicherheitschef Sullivan spricht von einem großartigen Programm, das bereits geholfen habe, die Sicherheit von Facebook zu verbessern. Die Electronic Frontier Foundation, die sich für Bürgerrechte im Internet einsetzt, lobte das Programm als außergewöhnlichen Ansatz. Doch trotz allen Zuspruchs, das Konzept ist weder neu noch umunstritten.

Google bezahlt Hinweisgebern seit November Prämien. Knapp eine halbe Million US-Dollar hat der Suchmaschinengigant bereits an Belohnungen fließen lassen. Ohnehin wird mit aufgedeckten Sicherheitslücken im Netz reger Handel betrieben - sowohl legal als auch illegal. So kauft der IT-Konzern HP entsprechende Informationen von Hackern, um diese in seine Sicherheitssoftware einzubauen.

Doch der Handel mit Informationen über Schlupflöcher stößt innerhalb der IT-Branche auch auf Ablehnung. So sagte Stephen Toulouse, Sicherheitsexperte bei Microsoft, in einem Interview mit dem Internetportal Softpedia: "Wir glauben nicht, dass es der beste Weg zum Schutz unserer Kunden ist, Geld für heikle Informationen anzubieten". Ohne die Fertigkeiten von Hackern geht es aber auch bei Microsoft nicht. Sie werden in Anspruch genommen, bevor der Softwarehersteller neue Produkte auf den Markt bringt, um mögliche Mängel zu beheben.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Die Kommentarfunktion unter diesem Artikel ist geschlossen.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Leser*innenkommentare

  • Malte

    Gast

    Ich finde es gut, wenn Google und Facebook die Community belohnen, Schlupflöcher nicht anderweitig auszunutzen. Dass Micro$oft mit solch einem offenen System nichts anfangen kann, war mir klar. Die setzen lieber die Sicherheit der Nutzer auf's Spiel.

  • Strate gie

    Gast

    Auf CNBC gab es eine Woche lang täglich Berichte über Whistleblowing. Dafür bezahlt der US-Staat sogar Beteiligung an der "Beute" also den Strafzahlungen. Für viele rechnet es sich nicht, aber teilweise verdient man doch recht gut.

    So etwas ist besser als sein Wissen nicht nutzen zu können. Libri und die durchlaufenden Rechnungs-Nummern sind ja "offensichtlich". Ich wusste das HBCI von der Postbank beliebige TANs akzeptiert und doch nicht ganz so sicher ist wie es erscheint. Ein paar Monate später machte die ct eine große Story daraus. Wo hätte man das melden können ? Nirgendwo. "Danke Gesellschaft".

    Die taz oder sonstwer könnte ja Preise ausschreiben für Lösungen z.B. für Griechenland. Oder für Mindestanforderungen an den nächsten Berliner Wasservertrag. Es finden sich genug Crowd-Spender. Die Frage ist, welche Vorschläge durchkommen und welche nicht. Man sollte Rundenbasiert arbeiten. Wenn also eine Mehrheit (oder 10%) einen Vorschlag für "besser als was die Politik jetzt macht." gibt es 50 Euro. Für bessere Stufen mehr Euros. Wenn ein Gesetz daraus wird, die höchste Belohnung. Flattr hat ein unverständliches Verteilungssystem (jeder in jedem Forum glaubt etwas anderes wie Flattr verteilt wird). Sowas in besser und Politikern werden Lösungen vorgesetzt gegen die kein Lobby-Think-Tank anstinken könnte.

    Anonyme Ideen gehen natürlich auch. Denn die Produzenten von Analog-Käse oder Gammelfleisch wissen supergenau, wie man ihn abschaffen könnte. Und dieses Wissen muss geborgen werden von den kostenlosen Praktikanten oder sonstwem dem die 50 Gramm Analogkäse pro Pizza zu viel sind.

    Gute Ideen sind leider nicht gefragt :-(

    Im Prinzip müsste jede Aktienfirma und ISO900x-Firma solche Meldesysteme (inclusive Belohnung) haben. D.h. man meldet Wiesenhof und schickt ihnen Bilder von Tiermishandlungen und Wiesenhof bezahlt die Belohnung (in USA unter Beteiligung von Boston Legal und Zillionen für Anwälte, hier halt ohne Anwalt und nur Testier-Notar und Lebensmittel-Freunde-Verein und halt dem Whistleblower). Ansonsten kann man doch physikalisch schon nicht testiert werden weil die Vorgesetzten es herunterspielen.

    "Das sind keine Tiermishandlungen. Wir bezahlen nicht." => Der Notar gibt es automatisch an die Presse. "Das sind Mishandlungen. Wir bezahlen 1000 Euro und kündigen 10 Firmen" => Notar meldet den Erfolg an die Presse. In beiden Fällen haben die Tiere und der Whistleblower gewonnen. So gesehen sind Facebook schon besser als die meisten DAX-Firmen die gar nicht wissen wollen ob irgendwo etwas falsch läuft.

    Wir erinnern an den Elchtest. "Keiner traut sich einen Merzedes zu überholen. Die großen sind zu schnell, die kleinen kippen um.". Im Prinzip hat die Autofirma den Journalisten die Autos zum Testen gegeben. Dazu zählen halt auch Sicherheitstests wie bei Facebook.

    Die Kritik ist also recht unbegründet so lange es keinen einzigen Ort gibt, wo man das Unrecht anprangern kann, ohne existenzvernichtet zu werden.

    Ich kenne Joghurtsorten die im unteren Drittel schimmelig schmecken. Wen interessiert das ? Ich kenne immer mehr Felder mit immer mehr Schildern. Das sind sicher die bösen Genfelder. Wo kann ich die melden ? Na also. Wo kann man Sicherheitslücken melden ohne abgeholt zu werden ? Na also.

    Die Presse interessiert sowas grundsätzlich nicht.