Willkommen beim Original und Testsieger.
Online seit 2004, mit über 140.000 Fragen & Antworten. 
00.000
Bewertungen
0,0/5,0
Günstige Rechtsberatung für alle.
Anwalt? Mitmachen
1
 
Frage stellen
an unsere erfahrenen Anwälte.
Jetzt auch vertraulich
Frage stellen
einem erfahrenen Anwalt
Jetzt auch vertraulich
2
 
Preis festlegen
Sie bestimmen, wieviel Ihnen die Antwort wert ist.
Preis festlegen
Sie bestimmen die Höhe selbst
3
Antwort in 1 Stunde
Sie erhalten eine rechtssichere
Antwort vom Anwalt.
Antwort in 1 Stunde
Rechtssicher vom Anwalt
Jetzt eine Frage stellen

Bug Bounty von Softwarehersteller verlangen

| 23.09.2020 19:25 |
Preis: 100,00 € |

Internetrecht, Computerrecht


Beantwortet von


09:13

Ich bin IT-Sicherheitsforscher & Penetrationstester, angestellt bei einem Systemhaus.

Während eines von einem Kundenunternehmens beauftragten Penetrationstests, habe ich eine Software-Schwachstelle entdeckt. Meiner Recherche nach ist diese Schwachstelle bis dato von keinem anderen entdeckt worden, und es dem Hersteller auch nicht bekannt ("Zero day"). Auch meiner Recherche nach sind andere Unternehmen davon betroffen und anfällig.

Die Software, die die Schwachstelle enthält, ist eine Branchensoftware für einen KRITIS-relevanten Sektor. Ich konnte den Softwarehersteller ermitteln.

Da ich ein "guter" Hacker bin, werde ich gemäß der üblichen Vorgehensweise zur Bekanntmachung von Schwachstellen zuerst lediglich den Hersteller über die konkrete Schwachstelle informieren, und ihm ausreichend Zeit einräumen, um einen Patch für die Schwachstelle zu veröffentlichen.

Dennoch würde ich den Hersteller gerne um einen Bug Bounty (Finderlohn) bitten. Dies scheint als Auslobung im BGB geregelt zu sein. Wenn das nicht klappt, dann vielleicht an ein bestehendes Bug-Bounty-Programm, welches Schwachstellen-Nachrichten kauft, und dann wohl selber veröffentlicht.

1. Frage: sollten Hersteller und ich uns nicht finanziell einigen können, und ich die Schwachstelle lieber anderweitig verkaufe (Bug-Bounty-Programme), kann man mir Erpressung vorwerfen?
2. Frage: muss ich meinen Arbeitgeber einbinden? Also, steht ihm einen Teil des Finderlohns zu? Muss ich ihn überhaupt informieren?
3. Gibt es sonst noch irgendwas, was ich beachten soll?

23.09.2020 | 20:35

Antwort

von


(595)
Wichlinghauser Markt 5
42277 Wuppertal
Tel: 0202 697 599 16
E-Mail:
Diese Anwältin zum Festpreis auswählen Zum Festpreis auswählen

Sehr geehrter Fragesteller,

auf Grundlage der durch Sie mitgeteilten Informationen beantworte ich Ihre Frage wie folgt:

1. Nach Ihren Angaben gehe ich davon aus, dass es gerade keine Auslobung gibt. Eine Auslobung läge nur dann vor, wenn der konkrete Softwarehersteller für die Entdeckung dieser Art von Schwachstellen eine Belohnung verspricht. Ich gehe davon aus, dass Sie Ihre "Lösung" an den Hersteller verkaufen wollen. Das muss dieser natürlich nicht annehmen. Wenn Sie das nicht mit einer Drohung der Veröffentlichung verbinden, sondern einfach fragen, ob man sich erkenntlich zeigt, dann liegt darin keine Erpressung. Dafür käme es auf die genauen Umstände des Einzelfalles an. Unter den gegebenen Umständen halte ich es allerdings für sinnvoll, wenn Sie von Anfang an die Lösung präsentieren und sich dann erkundigen, ob man eine Belohnung dafür zu zahlen bereit ist. Damit setzen Sie sich auf keinem Fall dem Risiko aus, dass man Ihnen eine Erpressung vorwirft.

2. Sehr wahrscheinlich gibt es in Ihrem Arbeitsvertrag eine Regelung die Sie dazu verpflichtet Ihre Arbeit und die dort erlangten Informationen niemandem gegenüber offen zu legen. Sehr wahrscheinlich gibt es auch eine Klausel dazu wem Erfindungen oder kreative Schöpfungen zustehen, die im Rahmen Ihrer Tätigkeit gemacht werden. Insgesamt müssen Sie für solche Erkenntnisse honoriert werden. Aber im Grunde steht Ihrem Arbeitgeber das Produkt Ihrer Arbeit zu und er muss Sie deshalb entschädigen. Gerade weil es sich um eine Erkenntnis im Rahmen eines Penetrationstests handelt und dabei wohl eine Software betroffen ist, die verbreitet und sensibel ist, würde ich Ihnen deshalb empfehlen Ihren Arbeitgeber einzubeziehen, bevor Sie über dieses Thema mit Dritten kommunizieren. Insbesondere weil unter Umständen auch Rückschlüsse darauf gezogen werden können bei welchem Kunden diese Lücke entdeckt worden ist.

Aufgrund der Umstännde, dass das ganze in einem professionellen Umfeld aufgedeckt worden ist, würde ich Ihnen empfehlen auf jeden Fall alle getroffenen Verschwiegenheitsvereinbarungen zu beachten und im Interesse Ihres Auftraggebers, aber auch Ihres Arbeitgebers eher auf die bug bounty zu verzichten als durch Ihr Streben danach Ihren Auftraggeber oder Ihren Arbeitgeber weiter zu gefährden. Wenn der Softwarehersteller von sich aus für die Aufdeckung der Sicherheitslücke eine Belohnung anbietet, dann können Sie diese aber natürlich annehmen. Das sollte aber ebenfalls in Absprache mit Ihrem Arbeitgeber erfolgen.

Mit freundlichen Grüßen


Rückfrage vom Fragesteller 24.09.2020 | 14:23

Hallo,

vielen Dank, für Ihre Antwort.

Den ersten Punkt würde ich gerne abschließend vertiefen:

Eine Veröffentlichung der Schwachstelle, egal ob mit oder ohne Belohnung, ist ganz normal und ein notwendiger Bestandteil des IT-Sicherheitsprozesses. Entscheidend ist, dass die Schwachstelle verantwortungsvoll veröffentlicht: der Hersteller wird über die Schwachstelle informiert, und ihm wird Zeit eingeräumt, um einen Patch für die Schwachstelle zu erstellen. Erst nachdem der Patch veröffentlicht wurde, wird dann die Schwachstelle selbst veröffentlicht, damit niemand die Kenntnis über die Schwachstelle bösartig ausnutzen kann.

Wenn der Hersteller keinen Finderlohn anbietet, würde ich höchstens in Erwägung ziehen, die oben beschriebene verantwortungsvolle Veröffentlichung einem Bug-Bounty-Programm gegen Belohnung zu überlassen.

Hier bitte ich Sie erneut zu bewerten, ob hier ein Vorwurf der Erpressung gemacht werden könnte.

Danke schön im Voraus.

Antwort auf die Rückfrage vom Anwalt 25.09.2020 | 09:13

Sehr geehrter Fragesteller,

gerne beantworte ich auch Ihre Nachfrage:

Wenn Sie die Offenlegung gegenüber dem Hersteller von der Zahlung einer Belohnung abhängig machen, dann laufen Sie immer Gefahr, dass das als Erpressung aufgefasst und gegebenenfalls zur Anzeige gebracht wird. Solange Sie mit der Nichtzahlung keine Bedingung verknüpfen können Sie dieses Risiko ausschließen.

Da Sie aber keinen Rechtsanspruch auf eine Belohnung haben können Sie dann natürlich auch leer ausgehen. Wenn Ihnen die Belohnung wichtiger ist, dann sollten Sie die Lücke, die Sie gefunden haben, gegenüber jemandem offenlegen der dafür auch eine Belohnung zahlen wird, aber nicht vom Unternehmen eine solche mehr oder weniger mit Druck einfordern.

Mit freundlichen Grüßen

Bewertung des Fragestellers 01.10.2020 | 15:07

Hat Ihnen der Anwalt weitergeholfen?

Wie verständlich war der Anwalt?

Wie ausführlich war die Arbeit?

Wie freundlich war der Anwalt?

Empfehlen Sie diesen Anwalt weiter?

Mehr Bewertungen von Rechtsanwältin Sonja Stadler »
BEWERTUNG VOM FRAGESTELLER 01.10.2020
4/5,0

ANTWORT VON

(595)

Wichlinghauser Markt 5
42277 Wuppertal
Tel: 0202 697 599 16
E-Mail:
RECHTSGEBIETE
Datenschutzrecht, Vertragsrecht, Internet und Computerrecht, Zivilrecht, Gesellschaftsrecht, Gewerblicher Rechtsschutz, Arbeitsrecht