Tor startet eigenes Bug-Bounty-Programm um sicherer zu werden

Der Anonymisierungsdienst Tor hat kürzlich sein neues Bug-Bounty-Programm vorgestellt. Ein wichtiger Schritt, denn derartige Software muss sicher sein. Auf dem Ende Dezember in Hamburg veranstalteten Chaos Communication Congress (32C3) kündigten die Verantwortlichen des Anonymisierungsdienstes Tor an, zukünftig ein Bug-Bounty-Programm durchzuführen. Dessen Teilnehmer (bislang eine kleine Gruppe ausgewählter IT-Sicherheitsforscher) sollen für gefundene Schwachstellen in der Software Prämien erhalten. Derartige Programme sind eine hervorragende Idee, die schon für eine Reihe von Unternehmen gut funktionieren. Für ein Projekt wie Tor ist es um so wichtiger, dass seine Software sicher ist.

Tor: Gegen Repression im Netz

Das Tor-Projekt bietet seinen Nutzern Anonymität, indem die Verbindung über ein Netzwerk von Anonymisierungs-Servern umgeleitet wird. Der Dienst ist beispielsweise für Dissidenten in autoritären Staaten sehr wichtig, da er sie nicht nur vor Repressionen schützt, sondern auch hilft, Zensur zu umgehen. Aber auch Nutzer, die „einfach nur so“ ihre Privatsphäre schützen wollen, profitieren von dem kostenlos angebotenen Service.

Wie jede andere Software auch, hat auch Tor gelegentlich mit Sicherheitslücken zu kämpfen. Um diese zukünftig schneller finden und beheben zu können, haben die Tor-Entwickler nun ein Bug-Bounty-Programm ins Leben gerufen. Das bedeutet, dass beteiligte Entwickler Prämien für gefundene Sicherheitslücken erhalten. „Wir sind den Leuten dankbar, die sich im Laufe der Jahre unseren Code angeschaut haben, aber der einzige Weg, um weiterhin stetig besser zu werden, ist, mehr Leute mit einzubeziehen“, sagte Tor-Mitbegründer und -Entwickler Nick Mathewson bei der Ankündigung.

Bug-Bounty-Programme: Ein wichtiges Werkzeug

Bug-Bounty-Programme sind eine gute und sinnvolle Idee, da sie Sicherheitsforschern einen Anreiz bieten, den konstruktiven und legalen Weg der „Responsible Disclosure“ zu gehen, also den betroffenen Entwicklern gefundene Schwachstellen mitzuteilen und womöglich auch bei deren Schließung zu helfen. Natürlich macht Geld alleine nicht glücklich. Aber angesichts der Schwarzmarkt-Preise für sogenannte Exploits (also dokumentierte Software-Lücken plus passender Angriffs-Code) und der in die Forschung fließenden Arbeit, nicht zu vergessen den möglichen Verlusten und Gefahren für die Betroffenen durch die Lücken, ist es durchaus angemessen, derartige Entdeckungen auch finanziell zu honorieren.

Zumal Geld in unserer Gesellschaft auch eine symbolische Bedeutung hat und Anerkennung sowie eine seriöse Geschäftsbeziehung andeuten kann. Den Sicherheitsforschern dies zukommen zu lassen, statt ihnen womöglich für ihre Mühen noch mit dem Anwalt zu drohen, wie dies in der Vergangenheit (natürlich nicht bei Tor, aber bei einigen Unternehmen) gelegentlich vorkam, zeigt einen konstruktiven Umgang mit IT-Sicherheit und Wertschätzung für die Experten dieser Welt.

Entsprechende Programme gibt es seit Jahren und sie leisten Unternehmen von AVG bis YouTube (darunter auch einigen ausgesprochenen Branchengrößen) gute Dienste.

Tor braucht sichere Software – gegen Behörden und Kriminelle

Es ist gut, dass sich in die Liste von Projekten, die gefundene Schwachstellen belohnen, nun auch Tor einreiht, braucht ein derartiges Projekt doch noch dringender als andere sichere Software. Sicherheitslücken in einer Software, die für derart sensible Zwecke genutzt wird, können die Nutzer erheblichen Gefahren aussetzen, sei durch Eingriffe der Ermittlungsbehörden oder auch Erpressungs- und Sabotageversuche Krimineller.

Das soll kein Vorwurf an Tor sein und erst recht keine Kritik daran, wie wichtig das Netzwerk für die Anonymisierung ist. Auch nicht an der Erweiterung durch Services wie den Tor Messenger, der verschlüsselte und anonymisierte Kommunikation erlaubt. Die Freiheit im Netz benötigt Dienste wie Tor zwingend, und es ist bewundernswert, mit wie viel Arbeitseinsatz die Tor-Entwickler ihrer Arbeit nachgehen. Darüber hinaus kann es, das liegt in der Natur der Sache, in der IT-Welt ebenso wenig absolute Sicherheit geben wie anderenorts. Ein Restrisiko bleibt und ist nicht denen anzulasten, die als Entwickler und Admins ihr bestes geben.

Nichtsdestotrotz trägt natürlich, wer derartige Software bereit stellt, eine große Verantwortung. Es ist begrüßenswert, dass sich das Tor-Projekt dieser Verantwortung so bewusst ist und sich bemüht, die Risiken durch das gezielte Einbinden von Sicherheitsforschern zu minimieren. So können hoffentlich viele Menschen sicher und unbehelligt anonym surfen.


Teaser & Image „Hacker“ by Ivan David Gomez Arce (CC BY 2.0)


Schlagwörter: , , , , , , ,
Annika Kremer

Annika Kremer

schreibt regelmäßig über Netzpolitik und Netzaktivismus. Sie interessiert sich nicht nur für die Technik als solche, sondern vor allem dafür, wie diese genutzt wird und wie sie sich auf die Gesellschaft auswirkt.

More Posts - Website - Twitter - Facebook - Google Plus