FAQ

Wer seid ihr?

Eine kurze Vorstellung von uns findet man auf der Teamseite.

Kurze Antwort: Ich bin ein IT-Promotionsstudent, der sich für das Thema IT-Security begeistert, mit Passion für Sicherheit im Web. Zudem beraten wir Unternehmen im Bereich IT-Security und Websicherheit.

Was genau macht ihr?

Wir suchen nach Sicherheitslücken in Webapplikationen, um diese den Betreibern mitzuteilen, damit die Lücken zeitnah behoben werden und die Sicherheit wiederhergestellt wird.

Was habt ihr davon?

Wir haben nicht viel davon, außer dass weniger Sicherheitslücken existieren. Natürlich haben wir auch ein gutes Gefühl, etwas getan zu haben, was der Sicherheit des Webs dient. In einigen Fällen bekommen für die verantwortliche Übermittlung der Sicherheitslücken auch eine finanzielle Belohnung.

Verlangt ihr Geld für die Informationen?

Nein, das wäre gegen unsere Moral. Wir wollen helfen Sicherheitslücken zu schließen, dabei geht es uns nicht primär um Profit. Nach der Übermittlung einer Sicherheitslücke, freuen wir uns über ein einfaches “Danke” oder eine kleine Spende.

Wie reagieren Unternehmen auf die Hinweise?

Das ist recht unterschiedlich.

Die meisten Unternehmen sind jedoch recht dankbar, wenn sie von Hinweisgebern, wie uns, informiert werden, bevor es zu einem tatsächlichen Angriff kommt. Andere Firmen wiederrum antworten gar nicht auf unsere Mails oder sind extrem unfreundlich, was absolut nicht nachvollziehbar ist, denn schließlich kommen wir in freundlicher Absicht. Trotzdem werden in solchen Fällen die Lücken meist geschlossen.

Extremfälle bei denen man überhaupt nicht reagiert, kommen sehr selten vor. Sollte ein Unternehmen unsere Hinweise nicht ernst nehmen, so versuchen wiederholt, u.a über weitere Instanzen (Datenschutzbeauftragte, CERTs, usw.), Kontakt aufzunehmen.

Wie lange brauchen Unternehmen um zu reagieren?

Das ist ebenso unterschiedlich, wie die Reaktion der Unternehmen bei Meldung der Lücken (s.o). Manchmal ist eine Lücke in weniger als 24 Stunden geschlossen, es kommt aber leider auch mal vor, dass Unternehmen mehrer Monate brauchen um die Schwachstellen vollständig zu verifizieren und zu beheben.

Was ist Responsible Disclosure?

Kurz zusammengefasst bedeutet Responsible Disclosure, dass man die Sicherheitslücken vertraulich an den Betreiber meldet, und mit der Veröffentlichung so lange abwartet, bis das Problem behoben wurde.

Erst wenn die Lücke behoben wurde, egal wie lange es dauert, wird darüber berichtet. Dieses Verfahren ist äußerst betreiber- und herstellerfreundlich, deshalb nutzen wir es in jedem Fall, alles andere wäre undiplomatisch und nicht zu verantworten.

Warum wendet ihr Zeit für Internetwache.org auf?

Das Internet ist vielen Menschen und uns wichtig. Wir halten es für eine gute Idee gemeinschaftlich daran zu arbeiten, dass es auch weiterhin ein Bereich des alltäglichen Lebens ist, an dem sich Menschen wohl und sicher fühlen. Um dieses Ziel zu erreichen, arbeiten wir daran, es durch die verantwortliche Meldung und Offenlegung von Sicherheitslücken und -problemen zu verbessern.

Seid ihr Hacker?

Das Wort Hacker hat überwiegend, durch die Medien, einen negativen Ruf bekommen. Wir würden uns deshalb vielmehr als internetaffine und neugierige Menschen, mit Interesse an IT- und Websicherheit, bezeichen.

Hacking bedeutet für uns kreativen Umgang und Freunde an Technik zu haben, also nicht vorgesehene Anwendungsfälle und -möglichkeiten zu entdecken. Das bringt allerdings auch einiges an Verantwortung mit sich - aus diesem Grund würden wir uns allenfalls als ethische Hacker (Whitehats) betrachten und entsprechend handeln.

Könnt ihr XY (für mich) hacken?

Nein, es sei denn, es handelt sich um ein System oder eine Applikation, die vom Anfragenden entwickelt wurde und getestet werden darf.

Könnt ihr unsere Webapplikation auf Sicherheitslücken überprüfen?

Ja, mehr Informationen dazu finden Sie auf der Seite Securitycheck.

Wieso schreibt ihr nicht so viele Artikel?

Kurzum: Uns geht es vor allem um Qualität statt um Quantität. Sofern es um eine Untersuchung im Bereich IT-Sicherheit geht, so benötigt diese, wenn man valide Ergebnisse ermitteln möchte, einiges an Arbeit. Zudem verfassen wir alle Blogposts auf Deutsch und Englisch und haben neben dem Projekt Internetwache.org noch weitere Projekte und einen Beruf / Studium.

Was planen wir für die Zukunft?

Wir von Internetwache.org freuen uns die Zukunft des Netzes mitgestalten zu dürfen. Natürlich planen wir weiterhin Sicherheitslücken an Betreiber zu melden und Untersuchungen durchzuführen, um die Gesamtsicherheit des Internets zu erhöhen. Neben Websicherheit wollen wir uns künftig auch anderen Themenbereichen widmen.