Entdeckt ein Hacker eine Sicherheits­lücke auf einer Webapplikation, steckt er unter Umständen in einem mora­lischen Dilemma: Soll er das von der Sicherheitslücke betroffene Unternehmen auf die Schwachstelle aufmerksam machen oder die Information doch lieber Kriminellen zukommen lassen, die für solche Hinweise viel Geld bezahlen?

Da Unternehmen ein grosses Interesse an solchen Hinweisen haben, verlassen sie sich immer häufiger nicht ­lediglich auf das Gewissen der Hacker, sondern bieten diesen Geld an, wenn diese Sicherheitslücken dem Unternehmen melden.

160 Sicherheitslücken aufgespürt

Einen solchen monetären Anreiz ­bietet den Hackern auch die Swisscom. Gemäss eigenen Angaben hat sie im ­September 2015 ein sogenanntes Bug-Bounty-Programm (Fehler-Kopfgeld-Programm) lanciert. Sprecher Sepp ­Huber sagt, die Swisscom sei seines Wissens das einzige grosse Schweizer Unternehmen mit einem solchen Anreiz­system. Ein letzte Woche publizierter Bericht gibt nun erstmals Auskunft über Kosten und Nutzen des Programms.

Insgesamt hat die Swisscom letztes Jahr für rund 160 aufgespürte Sicherheitslücken circa 50'000 Franken bezahlt. Das Geld verteilte sich auf etwa 40 Personen. Pro Hinweis zahlt der ­Telecomkonzern zwischen 150 und 10'000 Franken – je nachdem, wie kritisch die entdeckte Schwachstelle war. Nur wenige Hinweise wurden mit mehr als 2000 Franken belohnt. Denn: Hochkritisch war laut Swisscom im letzten Jahr nur eine einzige entdeckte Schwachstelle. Um was es sich dabei handelte, will der Telecomkonzern aus Sicherheitsgründen nicht sagen. Die Schwachstelle sei jedoch behoben worden, bevor sie ausgenutzt wurde, so Sprecher Huber. 14 weitere Schwachstellen stufte die Swisscom als mittelkritisch ein.

Eigene Experten wären teurer

Welche Art von Schwachstellen werden von Hackern denn aufgedeckt? Die Swisscom nennt als Beispiel Probleme bei einer älteren Router-Generation. Wenn Kunden bei diesen eine unsichere Konfiguration vorgenommen hatten, konnten Angreifer die Kontrolle über das Gerät erlangen, sofern sie die öffentliche IP-Adresse des Kunden hatten.

Für die Swisscom ist das Anreizprogramm finanziell interessant. Müssten angestellte oder herbeigezogene IT-Spezialisten diese Schwachstellen aufspüren, wäre das wohl bedeutend teurer. Swisscom schreibt denn auch: «Das ­Programm erhöht die Sicherheit unserer Infrastruktur kosteneffektiv.» (Tages-Anzeiger)