Mit elf Jahren begann Robert Kugler, sich für Computer zu interessieren. Mit 13 programmierte er. Für eine Sicherheitslücke im Browser Firefox kassierte der heute 17-jährige Realschüler aus Baden-Württemberg im Herbst 2012 schon einmal 1500 Dollar von der Mozilla Foundation - jetzt gab es 3000 Dollar für einen aufgespürten Bug. Nach seinem Abschluss möchte Kugler an einem technischen Gymnasium Abitur machen und später Informatik studieren. Wenn er nicht gerade für den Abschluss im Sommer büffelt, Programmiersprachen übt oder Freunde trifft, lernt er Fremdsprachen.
SZ.de: Herr Kugler, Sie suchen das Internet nach Fehlern ab. Wie kommt man auf diese Idee?
Robert Kugler: Es macht mir einfach Spaß, im Internet zu stöbern, sich Codes von Websiten und Programmen anzusehen und dort Fehler zu finden. Ich möchte das Internet sicherer machen.
Für einen Bug, den Sie kürzlich im Firefox gefunden haben, gab es von der Mozilla Foundation 3000 Dollar ...
... und ein T-Shirt.
Was haben Sie entdeckt?
Im Firefox 12 fehlten im Mozilla Wartungsservice die Anführungszeichen bei Pfadangaben. So konnten Angreifer, die Schreibzugriff auf das C:\Laufwerk hatten, schädlichen Code ausführen. Mozilla hat den Fehler zwar bei der Version 13 behoben, allerdings nur dann, wenn der Nutzer den Browser komplett neuinstalliert. Bei einem Update war der Fehler immer noch da. Und darauf habe ich Mozilla hingewiesen.
Wie hat Mozilla reagiert?
Ich finde sehr vorbildlich. Neun Tage nachdem ich den Fehler gemeldet hatte, war ein Patch für die Sicherheitslücke verfügbar. Und in der nächsten Version wird er endgültig behoben sein.
Sie haben schon einmal 1500 Euro für eine gefundene Sicherheitslücke von Mozilla bekommen. Gibt es dort besonders viele Fehler oder reizt einfach die Belohnung?
Ich suche nicht nur bei Firefox nach Lücken. Aber es ist natürlich toll, in 30 Minuten 3000 Dollar zu verdienen. So lange habe ich gebraucht, um den Fehler zu finden. Wobei ich hier jetzt die Zeit nicht mit einberechnet habe, die ich gebraucht habe, um mich in die Materie einzuarbeiten. Das waren sicher zwei Jahre. Und mir gefällt der offene Umgang von Mozilla. Da werden Fehler kommuniziert und veröffentlicht und es gibt sogar ein Programm, das die User auffordert mitzuhelfen, um die Software sicherer zu machen. Das machen nicht alle Softwareanbieter.
Nicht jeder ist erfreut, wenn Sie ihn auf Sicherheitslücken hinweisen?
Na ja, ich habe auch in einem Microsoft-Programm etwas gefunden. Per E-Mail haben die Verantwortlichen sich schon dafür bedankt, dass ich den Fehler entdeckt habe. Allerding haben sie auch darauf hingewiesen, dass sie sich sehr darüber freuen würden, wenn ich das nicht öffentlich mache. Und die Belohnung ist lediglich, dass man mit Namen auf einer kaum auffindbaren Liste im Internet steht.
Kürzlich machte ein Schüler Schlagzeilen, der eine App entwickelt hat, die alle festinstallierten Apps bei Apple-Geräten ausblendete. Wie gefällt Ihnen das?
Ich finde die Idee spannend, aber mir gefällt das System dahinter nicht. Ich nutze keine Apple-Produkte, weil mir das gesamte System zu geschlossen ist und ich zu viele Daten von mir preisgeben muss.
Jung und unüberlegt
Nun heißt es, dass gerade Jugendliche gerne und unüberlegt ihre Daten preisgeben.
Ich mache das nicht, ich will meine Privatsphäre schützen und deshalb bin auch nicht bei Facebook - wie übrigens auch immer mehr von meinen gleichaltrigen Freunden und Bekannten. Wir wissen, wie gefährlich es sein kann, beispielsweise Bilder von sich ins Netz zu stellen. Jugendliche nutzen mittlerweile hauptsächlich Chatprogramme wie WhatsApp, um sich zu verabreden.
Das gilt jetzt auch nicht als allzu sicher.
Ja, das stimmt, aber es ist das kleinere Übel. Und man muss einfach wissen, dass Dienste, die kostenlos sind, an die Daten der Nutzer wollen.
Sie kennen sich gut mit Sicherheitslücken aus. Reizt es Sie nicht, die Seiten zu wechseln?
Hacker werden und Daten stehlen reizt mich überhaupt nicht. Natürlich interessiert es mich, was aufgrund der Datenlecks alles möglich ist. Aber ich will einfach nur helfen und die Firmen auf die Lücken aufmerksam machen. Deshalb finde ich es auch sehr schade, dass Kollegen, die das gleiche wie ich machen, mit Anwälten gedroht wurde.
Ihnen ist das aber nicht passiert.
Nein, kleinere Firmen haben mir als Dank für meine Hilfe schon kleine Präsente oder Gutscheine geschickt - oder eben, wie Mozilla, den größeren Betrag.
Was machen Sie jetzt mit dem Geld?
Ich werde einen Teil sparen und meinen Führerschein machen.