Hacker: Gefährliches Spiel am Rande der Legalität

Viele Sicherheitsunternehmen, wie Digital Defense, Internet Security Systems und @Stake brüsten sich sogar mit der Tatsache, dass der Einsatz von Hackern zu ihrem Service gehöre. Oracle unterhält sogar einen Stab von im Hause ausgebildeten Hackern, wobei Chief Security Officer Mary Ann Davidson zufolge externe Hacker nur in seltenen Fällen eingestellt werden.

„Ich verwende den Begriff ,Hacker‘ meist als Ausdruck professioneller Anerkennung“, so Mary Ann Davidson. „Ich halte nicht viel davon, diejenigen, die sich mit der Aufdeckung von Sicherheitslücken beschäftigen, für unsere eigenen Versäumnisse zu bestrafen. Dennoch sollte die Situation geklärt werden.“

Andere wiederum betreiben eine Politik der Geheimhaltung.

„Die Unternehmen behaupten zwar, keine Hacker zu beschäftigen, doch wenn man hinkommt, sitzt ein ganzer Raum voll von ihnen“, sagte „md5“, ein Mitglied der GhettoHackers, einer im Raum Seattle ansässigen Gruppe von White Hats.

Das gegenwärtige Sicherheitsbewusstsein veranlasst Programmierer und Hacker dazu, verstärkt auf politische Entwicklungen und Gesetze zu achten. Diese neue Sensibilisierung führt nach Ansicht vieler Experten dazu, dass sie nicht mehr wagen Unternehmen über Schwachstellen zu informieren. „Es werden noch immer jede Menge Lücken entdeckt, aber keiner veröffentlicht sie“, sagte Moore. „Während kleine Fehler nach wie vor auf Listen wie Bugtraq aufgeführt werden, ist die Offenlegung wirklich bedeutender Schwachstellen jedoch eher selten.“

Was Secure Network Operations kürzlich widerfahren ist, ist ein gutes Beispiel hierfür. Finisterre, der sich auch als „dotslash“ betitelt, hat zwar nicht seine Philosophie über Bord geworfen, sein Unternehmen ist jedoch bei der Veröffentlichung von Sicherheitslücken weitaus vorsichtiger geworden. „Wir gehen nun beim Kontaktieren der Anbieter erheblich weniger direkt vor, denn die Aktion von HP hat uns einen Riesenschrecken eingejagt“, meint Finisterre.