[l] Das Lobbyregister des Bundestags hat ein Positionspapier der Automobilindustrie. Die sind mit den Cybersecurity-Auflagen und der Gesetzeslage unzufrieden.
Fahrzeughersteller sind heute verpflichtet, durch Penetrationstests Sicherheitslücken ihrer Produkte zu identifizieren und zu beseitigen. Sowohl für mit der Durchführung solcher Tests
beauftragte Spezialisten als auch für unabhängig agierende, ethische Sicherheitsforscher besteht dabei nach heutiger Gesetzeslage jedoch die Gefahr, sich strafbar zu machen.
Ach. Ach was! Sag bloß. Hätte doch nur damals jemand den Bundestag gewarnt, bevor sie dieses Schrottgesetz erlassen!1!! Ihr wisst schon, so ein CCC-naher Blogger mit Security-Background am besten!
Aber das soll hier bitte nicht so klingen, als sei die Automobilindustrie im Recht. Absolut nicht. Die machen sich mit dem Positionspapier nackig.
Konkret sagen sie nämlich, dass sie vor allem Sorgen um White-Hat-Hacker haben, die für sie kostenlos freiwillig unbezahlt ohne Entlohnung auf eigene Rechnung in ihrer eigenen Freizeit ihre Produkte auf Sicherheitslücken absuchen -- und die dann aber nicht veröffentlichen sondern schön demur und devot dem Hersteller melden, damit der da solange drauf sitzen kann wie er will. Das ist nämlich viel billiger als wenn man ein paar Profis einstellt. Und hey, man kann auch Spendierhosen anhaben und ein paar Brotkrumen Bug Bounty ausschütten, das ist immer noch eine Größenordnung billiger.
Warum ist das so viel billiger? Weil das kein Prozess ist. Ein regulärer Security-Prozess hat das Ziel, die Security zu verbessern, und danach sagen zu können, wieviel Abdeckung sie hatten, wie schlimm alles ist, und wieviel besser es wird, wenn man die Bugs hier jetzt fixt.
Die Automobilindustrie hat keinen Bock, tatsächlich Security zu machen. Sie würden viel lieber einfach Mails von Leuten kriegen, die ihnen Bugs in ihrer Software schenken, wo sie anderswo Geld für in die Hand nehmen müssten. Und dann dem Gesetzgeber und dem Regulator ins Gesicht zu lügen, man habe ja Security gemacht jetzt.
Nota bene: Bei Bug Bounty trägt der Bugsucher das Risiko, seine Zeit zu verschwenden, ohne etwas gefunden zu haben, und er hat quasi per Definition nicht den Quellcode und keine Architekturdokumentation. Der wird also im Allgemeinen eher oberflächlich und automatisiert suchen, und vielleicht ein paar Tage manuell hier und da mal hinfassen, ob es bröselt beim Anfassen.
Wenn IRGENDWO IRGENDEIN Bug Bounty Typ etwas finden kann, ist das kein Zeichen dafür, dass Security besser wurde, sondern dass der Ist-Zustand wirklich abgrundtief schlecht ist.
Wird noch schlimmer. Die Automobilindustrie möchte auch nur Tests an Autos legalisieren. Autos, die der Kunde gekauft hat. Die sein Eigentum sind. Die wollen nicht legalisieren, dass Leute ihre Backendsystem schief angucken. Ja, so beschissen ist bei uns die Gesetzeslage, dass man sich Sorgen machen muss, wenn man sein eigenes Eigentum untersucht.
Wieso überhaupt das Positionspapier? Es ist m.W. noch kein Bug-Bounty-Aktivist wegen Hackerparagraph verfolgt worden. Das kann ich nur so interpretieren, dass die Autoindustrie enttäuscht ist, wie schlecht die Ausbeute von den Bug-Bounty-Programmen ist. ACH. ACH WAS. Die Leute wollen gar nicht auf eigenes Risiko erst ein Auto kaufen müssen, um es dann zu untersuchen, und auf der Reparatur sitzenzubleiben, wenn sie es versehentlich bricken? Also DAMIT konnte ja wohl NIEMAND rechnen!
Aber aber aber wir sind doch FDP-Wähler hier und hatten gedacht, dass der Markt das regelt!1!! Ja, liebe Automafia. Der Markt wird das regeln. Indem ihr untergeht.
Ein bemerkenswertes Detail gibt es noch. Sie sehen sich nämlich außerstande, selber richtige Audits durchzuführen, weil sie dafür (so behaupten sie jedenfalls) die Einwilligung ihrer ganzen Lieferkette einholen müssten. Und äh nee, dann machen wir lieber Bug Bounty!1!!
Ich bin da vielleicht ein bisschen naiv, aber wieso muss eigentlich Mercedes ihre Zulieferer um Erlaubnis fragen, die von ihnen gekauften Komponenten prüfen zu lassen? Das könnte man doch mal gesetzlich noch deutlicher klarstellen, dass das nicht so ist.
Wieso kann VW nicht einfach in ihrer Zuliefererverträge reinschreiben, dass sie Audits machen wollen? Wenn der Zulieferer das nicht will, kann er geordnet pleite gehen. Das ist ja nicht VWs Anforderung sondern gesetzliche Anforderung an VW! Dass die überhaupt VW damit durchkommen ließen (offenbar!), einfach zu behaupten, sie könnten keine richtigen Audits machen, weil die Zulieferer zu befragen unzumutbar wäre und die würden eh nein sagen!!!
Oh und einen noch, der mich immer besonders ärgert. Die tun da die ganze Zeit so, als seien Pentests ein Mittel zur Steigerung der Security. Sind sie nicht. Pentests sind ein Mittel zum Ausfüllen von sinnlosen Compliance-Checkboxlisten. Pentests bringen gar nichts, ja sogar weniger als gar nichts, weil du danach nicht weißt, wieviel Prozent der Angriffsoberfläche die überhaupt identifiziert und bearbeitet haben. Da werden in der Praxis irgendwelche off-the-shelf Nessus-Forks laufen gelassen und dann geht man ins frühe Wochenende. Da könnte ich endlos drüber kotzen.
Besonders krass ist, wenn du solche Leute dann heulen hörst, dass Nessus so viele false positives hat. NA DANN MACHT HALT EINEN ORDENTLICHEN AUDIT UND KEINEN NESSUS-BULLSHIT!
Mit einer Sache haben sie allerdings Recht.
Während Hersteller und Sicherheitsforscher aus (berechtigter) Sorge vor Strafverfolgung von Penetrationstests absehen müssen und Sicherheitslücken deshalb unentdeckt und unbehandelt bleiben, haben Black Hat Hacker bei der Entdeckung und schädigenden Nutzung von Sicherheitslücken umso leichteres Spiel.
Das habe ich damals dem zuständigen Bundestagsausschuss ins Gesicht angekündigt, und so ist es auch gekommen. Jetzt ist es ein bisschen spät. Jetzt gibt es in diesem Lande fast nur noch Compliance-Securitytheater. Pentests. Automatisierte Scans. Am besten in der Cloud. ISO 27003. Aus meiner Sicht alles wertloses Theater.
Am liebsten hätte die Automobilindustrie, dass es immer schön regnet, aber niemand nass wird. Security frühstücken wir über Bug-Bounty-Theater ab. An unsere Backends lassen wir niemanden ran, und wenn doch jemand guckt, zeigen wir ihn mit dem Hackerparagraphen an, sprechen von krimineller Energie und gezieltem Angriff, und bezahlen Crowdstrike (ja, DAS Crowdstrike!) dafür, das als APT zu "identifizieren" und den Russen in die Schuhe zu schieben.
There are no comments yet.