Weder Anzeige noch Hausdurchsuchung. Der Sicherheitsforscher Shai Eistein bekommt ein T-Shirt für das Melden einer Sicherheitslücke.
Der Holländer Shai Eistein ist unter anderem auf LinkedIn als Experte für Informationssicherheit bekannt. Nun hat er nicht schlecht gestaunt, als er eine Sicherheitslücke an das Zentrum für Cybersicherheit der Niederlande (CERT) gemeldet hatte.
Nicht nur, dass man sich umgehend bei ihm gemeldet und sich sogar bei ihm bedankt hat. Mehr noch, sie wollten sogar seine Adresse haben. Spätestens an dieser Stelle hätte jeder Sicherheitsforscher aus Deutschland Bauchschmerzen bekommen. Ein Kommentar.
Shai Eistein: Sicherheitslücke betraf immerhin die nationale Sicherheit
Eine Sicherheitslücke an Behörden zu melden ist schon immer ein bisschen – sagen wir „delikat“ – gewesen. Vor allem hier in Deutschland musste der ein oder andere, da schon schlechte Erfahrungen machen. Dass es aber auch anders gehen kann, zeigte uns nun der Experte für Informationssicherheit Shai Eistein.
Wie er in seinem Beitrag auf LinkedIn mitteilte, hatte er eine Sicherheitslücke in einem von einem niederländischen Schiff genutzten Satelliten-Router gefunden. Dieser Router, so musste er feststellen, war nur mit einem Standardpasswort versehen und war somit auch für jedermann zugänglich.
Also meldete ich dem niederländischen CERT, dass ein niederländisches Schiff einen Satelliten-Router mit einem Standard-Passwort benutzte und dass dieser dem Internet ausgesetzt war.
Shai Eistein
Das Zentrum für Cybersicherheit reagierte dann auch recht schnell und bestätigte seinen Fund. Was dann kam, war schon fast etwas zu viel für den jungen Sicherheitsexperten aus den Niederlanden.
Sie teilten mir mit, dass die Schwachstelle behoben wurde und baten mich um meine Adresse, um mir ein T-Shirt zu schicken. Zuerst war ich besorgt …
Shai Eistein
Ja, ein T-Shirt. Und ja, ich muss zugeben, mir wäre da auch etwas mulmig geworden. Denn nicht nur dank der oft peinlichen deutschen Politik, müssen Sicherheitsforscher des Öfteren mit (unangenehmen) Hausbesuch und einer Anzeige rechnen.
Anzeige und Besuch von der Polizei oder doch lieber ein „lausiges“ T-Shirt?
Ja, Eistein bekam kurz darauf wirklich sein T-Shirt. Zugegeben, es war nur ein „lausiges“ T-Shirt, aber immerhin bekam er keine Anzeige mit anschließender Hausdurchsuchung angehängt. Eine Praxis, welche gerade hier in Deutschland ganz groß in Mode zu sein scheint. Zerforschung, bzw. Lilith Wittmann, sind da nur ein Beispiel von vielen. Immer wieder werden hier bei uns Sicherheitsforscher für das Melden von Sicherheitslücken kriminalisiert und als böse Hacker dargestellt.
Wie man kommt gegangen – oder wenn man vor lauter Bürokratie die Bäume nicht mehr sieht
Ja, da hat das niederländische Zentrum für Cybersicherheit tatsächlich Humor bewiesen. Eine Eigenschaft, welche man bei deutschen Behörden sicherlich vergebens suchen dürfte. Immer mehr Vorschriften, Regelungen und komplex verschachtelte Bürokratie machen sehr viel Eigeninitiative zunichte.
Denn klar, wie soll das auch gehen. Würde hier jemand auch nur auf die (verwegene) Idee kommen, sich bei einem Sicherheitsforscher mit einem T-Shirt zu bedanken, wenn er eine Sicherheitslücke gemeldet hat, müsste er dafür ja erst mal einen Antrag stellen. In vierfacher Ausführung und sechsmal gestempelt.
Shai Eistein ist ein gutes Beispiel, dass es auch anders geht
Viel mehr gibt es dazu eigentlich nicht zu sagen. Wie man kommt gegangen, so man wird empfangen. Und an dem Sprichwort ist sicherlich was dran. Denn wenn man hier bei uns weiterhin so mit Menschen umgeht, die es eigentlich nur gut meinen, muss man sich über kurz oder lang nicht wundern, wenn da irgendwann einfach nichts mehr kommt.
Denn klar, hätte ich die Wahl zwischen Anzeige und Hausdurchsuchung oder einem (lausigen) T-Shirt, ich würde mit Sicherheit lieber das Shirt nehmen. Alles andere macht nur unnötig Kopfschmerzen.
