Junger Informatik-Profi "Es ist toll, in 30 Minuten 3000 Dollar zu verdienen"

Der 17-jährige Realschüler Robert Kugler sucht das Internet nach Fehlern ab. Bei Firefox wurde er fündig - und bekam dafür von Mozilla 3000 Dollar. Ein Gespräch über gefährliche Sicherheitslücken, die Unterschiede zwischen freundlichen und unfreundlichen Softwareanbietern und warum er weder Apple-Produkte noch Facebook nutzt.

Von Mirjam Hauck

Mit elf Jahren begann Robert Kugler, sich für Computer zu interessieren. Mit 13 programmierte er. Für eine Sicherheitslücke im Browser Firefox kassierte der heute 17-jährige Realschüler aus Baden-Württemberg im Herbst 2012 schon einmal 1500 Dollar von der Mozilla Foundation - jetzt gab es 3000 Dollar für einen aufgespürten Bug. Nach seinem Abschluss möchte Kugler an einem technischen Gymnasium Abitur machen und später Informatik studieren. Wenn er nicht gerade für den Abschluss im Sommer büffelt, Programmiersprachen übt oder Freunde trifft, lernt er Fremdsprachen.

SZ.de: Herr Kugler, Sie suchen das Internet nach Fehlern ab. Wie kommt man auf diese Idee?

Robert Kugler: Es macht mir einfach Spaß, im Internet zu stöbern, sich Codes von Websiten und Programmen anzusehen und dort Fehler zu finden. Ich möchte das Internet sicherer machen.

Für einen Bug, den Sie kürzlich im Firefox gefunden haben, gab es von der Mozilla Foundation 3000 Dollar ...

... und ein T-Shirt.

Was haben Sie entdeckt?

Im Firefox 12 fehlten im Mozilla Wartungsservice die Anführungszeichen bei Pfadangaben. So konnten Angreifer, die Schreibzugriff auf das C:\Laufwerk hatten, schädlichen Code ausführen. Mozilla hat den Fehler zwar bei der Version 13 behoben, allerdings nur dann, wenn der Nutzer den Browser komplett neuinstalliert. Bei einem Update war der Fehler immer noch da. Und darauf habe ich Mozilla hingewiesen.

Wie hat Mozilla reagiert?

Ich finde sehr vorbildlich. Neun Tage nachdem ich den Fehler gemeldet hatte, war ein Patch für die Sicherheitslücke verfügbar. Und in der nächsten Version wird er endgültig behoben sein.

Sie haben schon einmal 1500 Euro für eine gefundene Sicherheitslücke von Mozilla bekommen. Gibt es dort besonders viele Fehler oder reizt einfach die Belohnung?

Ich suche nicht nur bei Firefox nach Lücken. Aber es ist natürlich toll, in 30 Minuten 3000 Dollar zu verdienen. So lange habe ich gebraucht, um den Fehler zu finden. Wobei ich hier jetzt die Zeit nicht mit einberechnet habe, die ich gebraucht habe, um mich in die Materie einzuarbeiten. Das waren sicher zwei Jahre. Und mir gefällt der offene Umgang von Mozilla. Da werden Fehler kommuniziert und veröffentlicht und es gibt sogar ein Programm, das die User auffordert mitzuhelfen, um die Software sicherer zu machen. Das machen nicht alle Softwareanbieter.

Nicht jeder ist erfreut, wenn Sie ihn auf Sicherheitslücken hinweisen?

Na ja, ich habe auch in einem Microsoft-Programm etwas gefunden. Per E-Mail haben die Verantwortlichen sich schon dafür bedankt, dass ich den Fehler entdeckt habe. Allerding haben sie auch darauf hingewiesen, dass sie sich sehr darüber freuen würden, wenn ich das nicht öffentlich mache. Und die Belohnung ist lediglich, dass man mit Namen auf einer kaum auffindbaren Liste im Internet steht.

Kürzlich machte ein Schüler Schlagzeilen, der eine App entwickelt hat, die alle festinstallierten Apps bei Apple-Geräten ausblendete. Wie gefällt Ihnen das?

Ich finde die Idee spannend, aber mir gefällt das System dahinter nicht. Ich nutze keine Apple-Produkte, weil mir das gesamte System zu geschlossen ist und ich zu viele Daten von mir preisgeben muss.