Google sagt Bugs den Kampf an: Project Zero versammelt Elite-Hacker

Die Nachrichten von groß angelegten Angriffen auf Server und Sicherheitssysteme, lahmgelegten Shops und gestohlenen Kundendaten werden immer häufiger. So wurde das Jahr 2013 von dem Sicherheitsunternehmen Kaspersky zum „Jahr der Mega-Hacks“ erklärt – 2014 könnte die Zahlen aus dem Vorjahr aber durchaus toppen. Da Sicherheitslücken in Programmen den Hackern ihr Handwerk noch erleichtern, geht Google nun im großen Stil gegen solche Bugs vor – und will die Kriminellen mit ihren eigenen Waffen schlagen: Ein Team von Elite-Hackern soll Fehler aufspüren, noch bevor sie bekannt werden.

Ziel: Schaffen einer öffentlichen Datenbank
Notfallplan in der Schublade
IT-Haftpflicht: Abwehr und Deckung von teuren Eigen- und Fremdschäden
Leistungserweiterung Datenschutz- und Cyber-Eigenschaden-Deckung

Was genau Google vorhat, um das Internet sicherer zu machen, schauen wir uns auf der exali.de InfoBase genauer an. Außerdem geht es um das Thema: Wie sich IT-Experten vor den Folgen von Programmierfehlern und anderen Pflichtverletzungen schützen können. 

Project Zero: Hacker als Sicherheitsforscher

Mehr als zehn Star-Hacker, die sich in der Szene bereits einen Namen gemacht haben, bekommen nun von Google die Möglichkeit, im großen Stil Gutes zu tun: In Vollzeit können sie als Mitarbeiter des Suchmaschinenriesen ihrem Hobby nachgehen und Sicherheitslücken im Netz aufspüren. 

Chris Evans, der die Arbeit des Teams koordinieren soll, erklärte, dass es in erster Linie darum gehe, sogenannte Zero-Day-Bugs aufzuspüren – Lücken, die noch nicht bekannt sind, für die es deshalb auch noch keine Patches gibt und die folglich durch Malware ausgenutzt werden können.

Für solche Zero-Day-Bugs existiert ein eigener Untergrundmarkt, auf dem diese für hohe Summen verkauft werden – z.B. an Rüstungsfirmen oder Geheimdienste. Große Softwareentwicklungsfirmen loben zwar teilweise selbst Belohnungen für das Melden von Sicherheitslücken aus, doch die illegalen Verkäufe bringen ein Vielfaches dieser Summen ein. 

nach oben

Ziel: Schaffen einer öffentlichen Datenbank

Mit dem Project Zero möchte Google solchen Machenschaften die Grundlage entziehen. Nun geht es für die als Sicherheitsforscher berufenen Hacker darum, Fehler schneller aufzuspüren, als kriminelle IT-Profis. 

Untersucht werden sollen übrigens nicht nur Google-Produkte, sondern auch jede Software im Umfeld des Suchmaschinen-Riesen. Gefundene Bugs sollen dann direkt an die betroffene Firma gemeldet werden, die somit die Chance bekommt, die Lücke zu schließen. 

Verantwortliche von Technologie- und Software-Unternehmen sind von dem Projekt begeistert. So lobt beispielsweise auch Roland Messmer, Manager der Sicherheitsfirma LogRhythm, Googles Vorhaben. Dennoch warnt er davor, sich vollständig auf Project Zero zu verlassen. Vielmehr müsste jedes Unternehmen seine IT-Systeme selbst überwachen und auf ungewöhnliche Aktivitäten hin prüfen. Schließlich wisse niemand besser, was nun Routine und was außergewöhnlich sei. 

nach oben

Notfallplan in der Schublade

Die Kriminalität im und übers Internet hält die Businesswelt in Atem. Schließlich reicht es nicht, sämtliche Sicherheitsmaßnahmen stets auf dem neuesten Stand zu halten und die Systeme zu überwachen – auch auf den Ernstfall müssen Unternehmen vorbereitet sein. Denn das Sicherheitssystem kann noch so ausgeklügelt sein, es wird immer einen Hacker geben, der es umgehen und Lücken missbrauchen kann. 

Deshalb ist es wichtig, dass Unternehmen immer einen Notfallplan in der Schublade haben, der regelt, was im Fall eines Hackerangriffs oder eines anderen Falles von Datenverlust zu tun ist. Gerade bei Unternehmen mit vielen Mitarbeitern kann die Implementierung von Richtlinien dabei helfen, ihnen die Unsicherheit im Umgang mit Daten zu nehmen und Verhaltensweisen im Ernstfall vorzugeben. 

nach oben

IT-Haftpflicht: Abwehr und Deckung von teuren Eigen- und Fremdschäden

Trotz umsichtigem Verhalten kann es natürlich sein, dass ein Hacker-Angriff zu teuren Schäden führt – sei es durch Beschädigung der Systeme oder den Missbrauch von Daten, die aufwändig wiederhergestellt werden müssen. Es lohnt sich daher in jedem Fall, eine spezielle IT-Haftpflicht abzuschließen, die solche Schäden abdeckt und das Unternehmen vor Defiziten schützt. 

Das besondere an der IT-Haftpflicht von exali.de: Sie deckt nicht nur Schadenersatzansprüche Dritter, z.B. wegen der Verletzung gewerblicher Schutzrechte (Marken-, Urheber-, Namens- und Persönlichkeitsrechte, Lizenzrechte, Wettbewerbsrechte) ab, sondern springt auch bei bestimmten Eigenschäden ein. Abgesichert sind dann die Veränderung oder Blockierung der eigenen Webseite, Vertrauensschäden, der Verlust schriftlicher Arbeitsdokumente sowie Reputationsschäden.

nach oben

Leistungserweiterung Datenschutz- und Cyber-Eigenschaden-Deckung

Aufgrund der gestiegenen Anzahl von Mega-Hacks und Angriffen auch auf kleine und mittelständische Unternehmen gewinnt eine Leistungserweiterung zur IT-Haftpflicht immer mehr an Bedeutung: die Datenschutz- und Cyber-Eigenschaden-Deckung.

Sie springt ein, wenn ein Angriff aus dem Netz Schäden an den eigenen IT-Systemen verursacht hat, personenbezogene Daten von Unternehmens-Kunden ausgespäht wurden, eine Unterbrechung des Business droht oder schon entstanden ist und enthält einen Internet-Straf-Rechtsschutz, der ggf. die Kosten einer Strafverteidigung übernimmt.

Die Datenschutz- und Cyber-Eigenschaden-Deckung kommt in diesem Sinne für eigene Kosten und Mehrkosten im Zusammenhang mit Datenverlust und -missbrauch auf, z.B. für die Beauftragung von

nach oben

Weiterführende Informationen

© Nele Totzke – exali AG