Das Lobbyregister des Bundestags hat ein Positionspapier der Automobilindustrie [0]. Die sind mit den Cybersecurity-Auflagen und der Gesetzeslage unzufrieden.
>Fahrzeughersteller sind heute verpflichtet, durch Penetrationstests Sicherheitslücken ihrer Produkte zu identifizieren und zu beseitigen. Sowohl für mit der Durchführung solcher Tests beauftragte Spezialisten als auch für unabhängig agierende, ethische Sicherheitsforscher besteht dabei nach heutiger Gesetzeslage jedoch die Gefahr, sich strafbar zu machen.
Ach. Ach was! Sag bloß. Hätte doch nur damals jemand den Bundestag gewarnt, bevor sie dieses Schrottgesetz erlassen!1!! Ihr wisst schon, so ein CCC-naher Blogger mit Security-Background am besten!
Aber das soll hier bitte nicht so klingen, als sei die Automobilindustrie im Recht. Absolut nicht. Die machen sich mit dem Positionspapier nackig.
Konkret sagen sie nämlich, dass sie vor allem Sorgen um White-Hat-Hacker haben, die für sie kostenlos freiwillig unbezahlt ohne Entlohnung auf eigene Rechnung in ihrer eigenen Freizeit ihre Produkte auf Sicherheitslücken absuchen -- und die dann aber nicht veröffentlichen sondern schön demur und devot dem Hersteller melden, damit der da solange drauf sitzen kann wie er will. Das ist nämlich viel billiger als wenn man ein paar Profis einstellt. Und hey, man kann auch Spendierhosen anhaben und ein paar Brotkrumen Bug Bounty ausschütten, das ist immer noch eine Größenordnung billiger.
Warum ist das so viel billiger? Weil das kein Prozess ist. Ein regulärer Security-Prozess hat das Ziel, die Security zu verbessern, und danach sagen zu können, wieviel Abdeckung sie hatten, wie schlimm alles ist, und wieviel besser es wird, wenn man die Bugs hier jetzt fixt.
Die Automobilindustrie hat keinen Bock, tatsächlich Security zu machen. Sie würden viel lieber einfach Mails von Leuten kriegen, die ihnen Bugs in ihrer Software schenken, wo sie anderswo Geld für in die Hand nehmen müssten. Und dann dem Gesetzgeber und dem Regulator ins Gesicht zu lügen, man habe ja Security gemacht jetzt.
Nota bene: Bei Bug Bounty trägt der Bugsucher das Risiko, seine Zeit zu verschwenden, ohne etwas gefunden zu haben, und er hat quasi per Definition nicht den Quellcode und keine Architekturdokumentation. Der wird also im Allgemeinen eher oberflächlich und automatisiert suchen, und vielleicht ein paar Tage manuell hier und da mal hinfassen, ob es bröselt beim Anfassen.
Wenn IRGENDWO IRGENDEIN Bug Bounty Typ etwas finden kann, ist das kein Zeichen dafür, dass Security besser wurde, sondern dass der Ist-Zustand wirklich abgrundtief schlecht ist.
Wird noch schlimmer. Die Automobilindustrie möchte auch nur Tests an Autos legalisieren. Autos, die der Kunde gekauft hat. Die sein Eigentum sind. Die wollen nicht legalisieren, dass Leute ihre Backendsystem schief angucken. Ja, so beschissen ist bei uns die Gesetzeslage, dass man sich Sorgen machen muss, wenn man sein eigenes Eigentum untersucht.
Wieso überhaupt das Positionspapier? Es ist m.W. noch kein Bug-Bounty-Aktivist wegen Hackerparagraph verfolgt worden. Das kann ich nur so interpretieren, dass die Autoindustrie enttäuscht ist, wie schlecht die Ausbeute von den Bug-Bounty-Programmen ist. ACH. ACH WAS. Die Leute wollen gar nicht auf eigenes Risiko erst ein Auto kaufen müssen, um es dann zu untersuchen, und auf der Reparatur sitzenzubleiben, wenn sie es versehentlich bricken? Also DAMIT konnte ja wohl NIEMAND rechnen!