Im Dienst der ITInformationstechnik-Sicherheit

Er gehört zu den bekanntesten Sicherheitsforschenden in Deutschland: Benjamin Kunz Mejri spürt seit mehr als 20 Jahren sicherheitsrelevante Lücken in ITInformationstechnik-Systemen und -Anwendungen auf. Mejri hat in seiner Karriere schon tausende Sicherheitslücken an Privatpersonen, Unternehmen, Behörden sowie Organisationen gemeldet – auch an die Bundeswehr. Im Interview spricht Mejri über diese Sicherheitslücken und darüber, was ihn antreibt.

Herr Mejri, Sie haben seit Einführung der VDPBwVulnerability Disclosure Policy der Bundeswehr 28 qualifizierte ITInformationstechnik-Schwachstellen gemeldet, womit Sie Spitzenreiter sind. Welche Motivation treibt Sie persönlich an, die Schwachstellen an die Bundeswehr zu melden?
Mein Drang zur Erforschung von ITInformationstechnik-Systemen und das Wissen von den ausnutzbaren Sicherheitslücken ist mein innerer Antrieb. Gleichzeitig möchte ich als White-Hat (Hacker, die mit und für Unternehmen nach ITInformationstechnik-Sicherheitslücken suchen. Anm. d. Red.) mit diesem Wissen natürlich etwas Gutes tun und versuche, Unternehmen, Communities und Endanwender vor digitalen Cyber-Angriffen zu schützen.

Die Bundeswehr ist mit der Vielzahl an verschiedenen ITInformationstechnik-Systemen ein großes und interessantes digitales Ziel für Angreifer. Es ist eine persönliche Herausforderung für mich, immer wieder der Erste zu sein und genau die verwundbaren Schwachstellen zu identifizieren und melden zu können. Meine Challange ist es daher, immer wieder mein Knowhow auszutesten und mich mit anderen auszutauschen.

Steht Ihnen ein Team oder eine Community bei Ihrer Arbeit zur Verfügung?
Ich suche und melde die identifizierten Sicherheitslücken unabhängig und allein. Allerdings tausche ich mich auch über die unabhängige Community der Initiative Vulnerability Lab mit anderen Sicherheitsforschern aus. Es ist genau diese unabhängige Form des freien Austauschs der ITInformationstechnik-Sicherheitsforscher, wo zwar jeder für sich eine gewisse einzelne Verantwortung trägt, aber am Ende das Kollektiv zusammen wesentlich erfolgreicher Cybersicherheit für die Gesellschaft erzeugt.

Sehen Sie heutzutage eine Zunahme und bessere Möglichkeiten, digitale Schwachstellen in Behörden und Unternehmen auszunutzen, als es früher der Fall war?
Es kommt immer darauf an. Die Bundeswehr hat schon gute Sicherheitslösungen implementiert, betreibt Sensorik und überwacht die eigenen Netzbereiche, was aber bei vielen anderen Behörden und Unternehmen teilweise noch fehlt.

Das Identifizieren von relevanten ITInformationstechnik-Sicherheitslücken bei der Bundeswehr stellt sich daher als eher größere Herausforderung dar. Dies bedeutet aber natürlich nicht, dass es keine einfach zu identifizierenden Schwachstellen bei der Bundeswehr gäbe, sondern dass die Relevanz eines möglich erfolgreichen Angriffs oft eine große Rolle im Zusammenhang mit den Kosten für die Angreifer spielt.

Durch die schnell voranschreitende Digitalisierung werden weltweit zunehmend neue und alte Technologien immer wieder miteinander vermischt, was in den letzten Jahren überall zu einer Zunahme von möglichen Schwachstellen geführt hat. Die Frequenz der Cyber-Angriffe, mit zum Beispiel schon bekannten Sicherheitslücken auf ungepatchten ITInformationstechnik-Systemen oder Zero-Day Schwachstellen, hat sich seit 2019 exponentiell vervielfacht.

Grundsätzlich ist es für Behörden und Unternehmen hilfreich, schon vor neuen Angriffswellen Kenntnis der eigenen Schwachstellen und Angriffspunkte zu haben und eine gewisse Resilienz aufzubauen. Meiner Meinung nach sollte daher bei Behörden – besonders im Kritis-Umfeld – und anderen Unternehmen das „Responsible Disclosure / Bug Bounty“ stärker Einzug erhalten.

Welche Vorteile sehen Sie bei einem Vulnerability Disclosure Programm gegenüber einem Bug Bounty Programm?
Ein sehr wichtiger Aspekt ist, dass bei einem Responsible Disclosure Programm der öffentliche Meldeprozess legitimiert wird, um durch klare rechtliche Rahmenbedingungen die Schwachstellenmeldungen für den ITInformationstechnik-Sicherheitsforscher zu entkriminalisieren.

Bei einem Responsible Disclosure Programm müssen definitiv weniger finanzielle Ressourcen in einer Organisation aufgewendet werden, als bei einem Bug Bounty Programm.

Disclosure Policies eignen sich zunächst für eine Organisation, um für sich selbst auszutesten, wie Meldungen zu Sicherheitsvorfällen und anderen Kommunikationslagen angenommen werden. Später ist es sinnvoll, ein Bug Bounty Programm zu etablieren. Die Prozesse des Disclosure Programms können dabei ohne Probleme in dem Bug Bounty Anwendung finden.

Welche weiteren Empfehlungen haben Sie für uns?
Ich empfehle, die etablierten Strukturen weiter auszubauen und das Programm fortlaufend im Regelwerk, sowie mit Blick auf die Interessen der ITInformationstechnik-Sicherheitsforscher und der Bundeswehr zu erweitern.

Wie haben Sie die Kommunikation zur Schwachstellenbehebung mit der Bundeswehr selbst empfunden?
Alle von mir gemeldeten Sicherheitslücken wurden professionell und innerhalb kurzer Zeit durch das CSOCBw bewertet und weiterbearbeitet. Die Kommunikation war jederzeit vertraulich und konnte verschlüsselt vorgenommen werden, was bei Behörden nicht alltäglich ist. Die Mitarbeiter waren sehr kompetent im Umgang mit den gemeldeten Sicherheitslücken. Wenn es vereinzelt mal ein Problem bezüglich der Reproduktion sowie Identifikation einer Schwachstelle gab, konnte durch eine unkomplizierte Kontaktaufnahme der Bundeswehr eine erfolgreiche Lösung schnell kommuniziert werden. Schwachstellen wurden je nach Umfang im Rahmen der üblichen Bearbeitungszeiten behoben. Nach der Behebung der Sicherheitslücken erfolgte ohne größeren Verzug auch die Anerkennung mit dem Namenseintrag auf der Dankesseite der Bundeswehr.

Würden Sie die VDPBwVulnerability Disclosure Policy der Bundeswehr in der Cybercommunity persönlich weiterempfehlen?
Ja natürlich. Ich habe Schwachstellen über die VDPBwVulnerability Disclosure Policy der Bundeswehr gemeldet und würde dies auch immer wieder tun. Ich habe schon seit Beginn der VDPBwVulnerability Disclosure Policy der Bundeswehr andere ITInformationstechnik-Sicherheitsforscher über die Policy sowie Programmregeln informiert und kann diese jedem Sicherheitsforscher mit gutem Gewissen weiterempfehlen.

von  Presse- und Informationszentrum CIR  E-Mail schreiben