Sicherheitslücken sind wie Pilze: Manche sind harmlos, andere hochgiftig – und einige werden einem von Fremden aufgedrängt, obwohl man nie danach gefragt hat.
Bei twosteps legen wir Wert auf echte Sicherheit. Das bedeutet auch: Nicht jede Funktion, die theoretisch möglich wäre, ist bei uns auch aktiv. Aus gutem Grund. Denn wo weniger Angriffsfläche, da weniger Risiko. Trotzdem – ganz ausschließen lassen sich Schwachstellen leider nie. Das wissen wir. Und das ist auch völlig in Ordnung. Was allerdings nicht in Ordnung ist, ist ein Trend, den wir freundlich als „kreative Geschäftsidee“ bezeichnen möchten.
Es geht um Leute, die ihre Freizeit damit verbringen, Webseiten und Server nach vermeintlichen Sicherheitslücken zu durchforsten – und diese Funde dann sehr enthusiastisch zu „verkaufen“. Der Ablauf ist meist ähnlich: Man bekommt eine Nachricht über eine angeblich kritische Schwachstelle, verbunden mit dem Hinweis, dass man diese Information gegen eine „angemessen hohe Entschädigung“ bekommen könne. Selbstverständlich im Sinne der guten Sache. Rein altruistisch, versteht sich.
Wir haben uns bei twosteps vor drei Jahren entschieden, bei diesem Spiel nicht mitzumachen.
Unsere Reaktion ist stets dieselbe: Wir bedanken uns höflich, verweisen auf das Bundesamt für Sicherheit in der Informationstechnik (BSI) und bitten darum, die Lücke dort zu melden. Gleichzeitig schicken wir den kompletten bisherigen Mailverlauf ebenfalls ans BSI.
Und siehe da – in etwa 80 % der Fälle folgt keine technische Analyse, sondern eine ausschweifende Abhandlung darüber, wie viel besser doch eine „diskrete Lösung“ wäre. Mit sanftem Nachdruck, versteht sich. Der neue Vorschlag: Wenn wir weiterhin „so unkooperativ“ bleiben, würde man sich gezwungen sehen, die Schwachstelle (und gleich noch unseren gesamten E-Mail-Verkehr) an das BSI zu übermitteln – zu einem zufällig gewählten Datum in naher Zukunft.
Wir sagen: Na endlich! Genau da gehört sie hin.
Denn echte Sicherheit ist kein Verhandlungsthema. Und wer wirklich Verantwortung zeigt, meldet Probleme (wie wir es auch machen) – ohne Preisschild.
Warum das BSI der richtige Ansprechpartner ist
Warum verweisen wir ausgerechnet an das BSI? Ganz einfach: Weil es dafür geschaffen wurde.
Das Bundesamt für Sicherheit in der Informationstechnik ist die zentrale Anlaufstelle für IT-Sicherheitsvorfälle in Deutschland. Es verfügt über das nötige Fachwissen, kann Risiken realistisch einschätzen und steht im direkten Kontakt mit Unternehmen, Behörden und der Öffentlichkeit. Kurz: Das BSI trennt die Spreu vom Weizen – und erkennt, ob es sich bei einer gemeldeten Schwachstelle um ein echtes Risiko oder um einen kreativen Versuch handelt, Geld mit Angst zu verdienen.
Durch die Meldung an das BSI stellen wir sicher, dass berechtigte Hinweise ernst genommen und professionell bewertet werden – ohne finanzielles Eigeninteresse, ohne Druckmittel, ohne versteckte Agenda.
Unser Ziel ist nicht, Hinweise zu ignorieren. Im Gegenteil: Wir begrüßen jede sachlich fundierte Rückmeldung. Aber wir glauben auch, dass Sicherheit nicht durch Seitengeschäfte entsteht, sondern durch Transparenz, Zusammenarbeit – und durch die richtigen Partner.