Es gibt Dinge, die muss man offenbar mindestens einmal falsch gemacht haben, um zu wissen, wie es richtig geht. Zum Beispiel eine eigentlich simple Käsesauce/Sauce Hollandaise. Wer sie während der Zubereitung „nur nochmal kurz erhitzen“ möchte, wünscht sich danach, einer der Gäste hätte diese verdammt blöde Idee im Keim erstickt, ein lautes „Halt!“ vom Esstisch herübergebrüllt, den Koch zu Boden gestürzt, den Schneebesen rechtzeitig an sich gerissen. Ähnliches scheint für Sicherheitslücken in den Diensten und Programmen großer Unternehmen zu gelten. Auch Nicht-Informatiker und -Sicherheitsexperten fragen sich, warum es Hackern möglich war, beispielsweise bei Sony, Amazon und Facebook an sensible Nutzerdaten zu gelangen.
Wahrscheinlich ist es leichter, eine Sicherheitslücke aufzudecken oder auszunutzen als sie von Anfang an auszuschließen – ich weiß es nicht. Egal wie groß und geschult die Sicherheitsabteilung ist, irgendwo gibt es bestimmt noch einen Experten, der noch qualifizierter ist. Um das Potential der weltweit verteilten Manpower anzuzapfen, locken nicht nur Google und Facebook mit Belohnungen für das Auffinden von Bugs. Microsoft hat jetzt einen Sicherheitswettbewerb ins Leben gerufen, der etwas anders geartet ist.
Der BlueHat Prize Contest zückt 200.000 US-Dollar Cash für den Sieger, 50.000 Dollar für den Zweitplatzierten und 10.000 Dollar in Form eines MSDN-Abonnements für die Nummer 3. Eine solche Summe haben die Redmonder eigenen Angaben zufolge bislang noch nicht in einen Wettbewerb dieser Kategorie gepumpt. Was zu tun ist: Die „nächste“ Sicherheitstechnik entwickeln. Unter „BlueHat“ veranstaltet Microsoft seit mehreren Jahren eine abgeschirmte (Hacker-)Konferenz, die Professionals und Externe zusammenführt, daher der Name.
Wie das Belohnungssystem von Google, das externe Entwickler für aufgedeckte Sicherheitslücken im Browser Chrome – je nach Relevanz mit 500 bis 3133,70 Dollar – entlohnt, oder auch Mozilla und Facebook, packt auch Microsofts Programm das Problem nicht an der Wurzel, nähert sich aber von einer anderen Seite. Wie die schwarz-blaue Website, die mich irgendwie an die immer einen Tick zu dunklen Räume der CTU aus 24 erinnert, erläutert, sollen Sicherheitsexperten Möglichkeiten finden, vorhandene Speicherschwachstellen in Programmen vor Angreifern abzusichern. Die effektivste Methode gewinnt. Microsoft verspricht sich davon natürlich auch mehr Sicherheit für Windows selbst.
Anmeldungen werden bis zum 1. April 2012 entgegengenommen, die Sieger verkündet der Software-Riese auf der Black Hat Konferenz 2012. Die Entscheidung fällen interne Ingenieure unter Berücksichtigung der Kriterien Funktionalität, Robustheit und Wirkung.
(Saskia Brintrup)
