08 Sep

Meuterei auf der Bug Bounty

Wenn‘s drauf ankommt, sehen vier Augen immer mehr als zwei. Das gilt bei allen Vorhaben mit höheren Ansprüchen und ist ein probates Mittel der Qualitätssicherung – nicht nur in der Informationstechnik. Open Source Software etwa baut schon immer auf dieses Prinzip und gilt zu Recht als besonders vertrauenswürdig. Renommierte Firmen wie Windows-Schöpfer Microsoft springen auf den Zug auf und richten sogenannte Bug-Bounty-Programme ein, bei denen Anwender Fehler melden und dafür Preisgelder einstreichen können.

Mittlerweile scheint die an sich gute Idee stellenweise arg überstrapaziert. Was für Branchenriesen „Nutzerbeteiligung“ heißt, nennen zahlende Kunden schlichtweg „Bananensoftware“, lies: Produkt reift beim Kunden. Das nervt ziemlich und war im Übrigen auch nie so gedacht. Denn in großem Stil nach Fehlern zu suchen, die bei sachgerechtem Entwurf einer Applikation gar nicht hätten vorkommen dürfen, sollte nicht die Aufgabe der Anwender sein. Ein dermaßen „erweitertes“ Vier-Augen-Prinzip kann allenfalls zusätzliche Sicherheit in der Tiefe schaffen, ersetzt aber nicht ingenieurmäßiges Vorgehen bei der Software- und Systementwicklung.

Und das bedeutet insbesondere für sicherheitsrelevante Aspekte bei IT-Systemen: Erst planen, dann bauen! Das dazu nötige Entwicklungsparadigma gibt es auch schon lange. Es heißt „Security by Design“ und bedeutet nichts anderes, als notwendige Sicherheitsvorkehrungen schon bei der Grundkonzeption einer IT-Lösung zu berücksichtigen. Das klingt so einfach, wie es dem Prinzip nach ist – aber vorher nachzudenken kostet eben auch sofort Geld. Und das spart man sich gerne in einer schnelllebigen Branche, denn am Ende ist es der Kunde, der letztlich draufzahlt.

Es wäre an der Zeit, dass Anwender meutern und sich nicht länger mit der Prämien-Möhre vor der virtuellen Nase als Versuchskaninchen einspannen lassen. Bestrebungen, die rechtlichen Regelungen der Produkthaftung auch auf Software als Ware auszuweiten, gehen da schon in die richtige Richtung. Qualität und Sicherheit lassen sich sowieso nicht nachträglich in konstruktiv schlechte Software „hineintesten“. Giganten wie Microsoft können nämlich sehr wohl gute und sichere Software entwickeln. Ohne Bug-Bounty und pausenlose Patch-Orgien.

Wir können es ja schließlich auch:

TightGate-Pro ist BSI-zertifiziert >