Als Robert Kugler im April 2017 eine Nachricht bekommt mit einem Angebot über 10 000 Dollar, weiß er recht schnell, dass seine Antwort "Nein, danke!" lauten wird. Die Nachricht kommt vom mittlerweile gelöschten Twitter-Konto "Vulntech2". Die Person dahinter will, so lässt es sich in einem Screenshot nachlesen, den IT-Sicherheitsforscher für Informationen über "hochriskante Schwachstellen" bezahlen.
Genau diese besitzt der 21-Jährige, der an der Hochschule in Aalen IT-Sicherheit studiert. Kurz vor der Anfrage veröffentlichte er einen Tweet. Was für Außenseiter kryptisch blieb, las sich für Hacker eindeutig: Kugler hat eine Schwachstelle gefunden, die es ihm erlaubt, aus der Ferne auf ein internetfähiges Gerät zuzugreifen. Dass es sich um Kameras handelt, behielt er erst einmal für sich.
Vulntech2 reagierte schnell, auch anderen Sicherheitsforschern schickte er so eine Anfrage. Die von Kugler entdeckte Lücke würde es ihm ermöglichen, sich in fremde Kameras einzuwählen. Aber wenn Kugler sein Wissen an Vulntech2 verkauft, ist die Wahrscheinlichkeit groß, dass er die Kontrolle über diese Schwachstelle verliert. Sie könnte dann in den Händen von Kriminellen landen, auch wenn Vulntech2 in seiner Nachricht beteuert, mit der Lücke nichts Illegales anzustellen. Auf Nachfrage von SZ.de lehnt die Person, die den Account betreibt, es ab, mit Journalisten zu reden. (Die SZ sprach den Account-Inhaber im Juli 2017 an, mittlerweile ist der Account gesperrt.)
Wer soll diese Information bekommen?
Die Entscheidung, die Kugler treffen muss, beleuchtet eines der größten Probleme von IT-Sicherheitsforschern. Teilt er die Lücke dem betroffenen Unternehmen mit - in der Hoffnung, dass er dafür von der Firma Geld bekommt? Verkauft er sein Wissen an Vulntech2? Oder aber veröffentlicht er es kostenlos im Netz? Wenn der Kamera-Hersteller schnell genug ist, kann er die Lücke schließen, bevor großer Schaden entsteht. Aber die Erfahrung zeigt: Oft sind Hersteller nicht schnell genug.
Diese Fragen stellt sich Kugler, seit er seine eigene Kamera technisch analysiert hat. Er fand heraus, dass sie über eine Art Notfall-Account verfügt. Jeder, der sich mit einer sehr einfach zu erratenden Nutzername-Passwort-Kombination einloggt, kann das Gerät steuern. Billig ist die Kamera übrigens nicht: Im Handel kostet sie 120 Euro. Und nicht nur das: Neben dem Hersteller Eminent, der Kuglers Kamera verkauft, sind auch Kameras der Firmen Lorex, StarVedia und Kraun von der Sicherheitslücke betroffen. Die Kamerahersteller kaufen ihre Software bei einem Erstausrüster ein - und passen die Modelle dann der eigenen Marke an. Das erklärt, wieso mindestens fünf Hersteller von der Sicherheitslücke betroffen sind. Kugler stellt fest, dass über diese Lücke, die er gefunden hat, potenziell Zehntausende internetfähige Kameras übernommen werden könnten.
Vier verschiedene Hersteller sind betroffen
Über einen Umweg, der technisch nicht anspruchsvoll ist, könnte auch auf Kameras zugegriffen werden, die nicht direkt vom Internet aus ansprechbar sind. Kriminelle Hacker müssten Kamera-Besitzer dazu bringen, eine vorher präparierte Webseite anzusurfen. Ist der Laptop im selben Netzwerk angemeldet wie die Kamera, ist auch sie anfällig. Deshalb ist es schwer, konkrete Zahlen zu nennen, wie viele Menschen von der Lücke betroffen sind. Seine Forschung demonstrierte Kugler vergangenen September der SZ, seit diesem Donnerstag ist sie öffentlich.
Und der Schaden bei einer internetfähigen Kamera kann groß sein: unbemerkte Foto- und Videoaufnahmen oder aber das heimliche Hinzufügen der Kamera zu einem Botnet (mehr dazu, wie ein Botnet funktioniert, finden Sie hier). Solche zusammengeschalteten Netze aus anfälligen Kameras und anderen Geräten können sehr mächtig werden und Teile des Internets lahmlegen.
Ein T-Shirt zum Dank
Jahrzehntelang bekamen Hacker für das Finden von Sicherheitslücken - meist in ihrer Freizeit - im besten Fall ein T-Shirt zum Dank, im schlimmsten Fall schrieb der Firmenanwalt. Diese Zeiten sind größtenteils vorbei. Auch deshalb, weil beispielsweise Google reihenweise Elite-Hacker mit sechsstelligen Gehältern lockt. Dort arbeitet nun eine Art Hausmeister-Kollektiv, das versucht, sämtliche internetfähigen Geräte auf Schwachstellen zu prüfen, damit das Internet sauber bleibt.
Andere Firmen bieten von sich aus an, freiwillige Hacker-Arbeit zu entlohnen. Microsoft, SAP, Uber und etliche andere Firmen bieten Programme an, die sich Bug Bounties nennen, Preisgeld für Schwachstellen. Diese liegen jedoch deutlich unter dem Niveau des Schwarzmarktes.
Kugler bleibt bei seinem Nein. "Mir geht es um ethische Werte. Als Hacker ist es meine Pflicht, die Privatsphäre von anderen Menschen zu verteidigen." Er wendet sich an eine der Firmen, die Bug Bounties organisiert: Beyond Security. Auf Nachfrage der SZ antwortet Noam Rathaus, Mitgründer der Firma, dass einer seiner Kunden derart besorgt über die Schwachstelle gewesen sei, dass er Geld gezahlt habe, damit er die Lücke in seinen Geräten schnell schließen könne. Kugler bekommt deutlich weniger als 10 000 Euro.
Der Prozess, die Schwachstellen zu fixen, hat Monate gedauert. Für Kugler ziemlich frustrierend. Noch frustrierender sei, dass die Schwachstelle bis dato nur bei einem der Hersteller wirklich repariert sei, bei StarVedia. Auf Anfrage der SZ reagierte keine der betroffenen Firmen.
