08.10.2007, 16:27 Uhr
Ein E-Bay für Softwarelöcher
Das Schweizer Start-up Wabisabilabi unterhält ein Internet-Auktionshaus, in dem Sicherheitslücken versteigert werden können
Wabisabilabi bietet eine Site, auf der sich Softwarelöcher versteigern lassen.
Die Idee stammt von den Bösewichten im Cyberspace: Hier ist es Usus, auf Untergrund-Webplattformen Softwarelöcher an den Meistbietenden zu verhökern. Ein ehrlicher Sicherheitsexperte, der eine Lücke entdeckt und diese brav dem entsprechenden Software-Hersteller meldet, «erhält dagegen lediglich einen feuchten Händedruck», moniert Giacomo Paoni vom Schweizer Jungunternehmen Wabisabilabi (WS-Labi). Damit begründet der Technikchef der in Chiasso beheimateten Firma gegenüber Computerworld gleich auch den Grund für den Aufbau eines Internet-Marktplatzes à la E-Bay für Softwarelöcher: «Wir wollen, dass diese Leute für ihren zum Teil beträchtlichen Zeitaufwand bei der Fahndung nach Sicherheitslücken entschädigt werden».
In der Security-Szene haben sich die Tessiner bereits einen Namen gemacht. So sei etwa die Teilnahme von WS-Labi an der gerade von Microsoft abgehaltenen internationalen Security-Konferenz Blue Hat als Auszeichnung zu sehen, meint etwa Candid Wüest, Virenexperte bei Symantec Schweiz, gegenüber Computerworld. Er weist gleichzeitig auf eine oft geäusserte Unsicherheit hin: «Wer kauft schlussendlich die Sicherheitslücken?», fragt sich Wüest und ortet hier ein gewisses Missbrauchspotenzial.
Paoni kennt diese Bedenken. «Wir überprüfen sowohl Anbieter als auch Abnehmer der Sicherheitslücken sehr genau», meint er. So werde beispielsweise getestet, ob die Bankverbindung des Teilnehmers stimmt. Zudem müsse jeder eine Festnetztelefonnummer angeben. Auf der rufe man dann den Teilnehmer an und führe mit ihm ein Interview, erklärt Paoni das Prozedere.
Die Idee von WS-Labi scheint in der Community Anklang zu finden. Laut Paoni haben sich bereits 1000 Sicherheitsexperten als Auktionatoren registrieren lassen. Und sie können dort tatsächlich ein Zubrot verdienen. Paoni beziffert etwa den durchschnittlichen Handelspreis einer SAP-Softwarelücke auf umgerechnet 17?000 Franken. Ob unter den Aufkäufern der Exploits auch namhafte Softwarehäuser wie Microsoft und Oracle sind, will der Schweizer Jungunternehmer nicht kommentieren. «Wir versprechen sowohl den Anbietern als auch den Käufern absolute Diskretion», sagt er.
Derweil hegt das Auktionshaus für Softwarelöcher weitere Security-Pläne. So will man ein Intrusion Detection System auf den Markt bringen und künftig mit einer grösseren IT-Sicherheitsfirma zusammenarbeiten. Wer in beiden Fällen der Partner von Wabisabilabi sein wird, will Paoni noch nicht verraten.
Übrigens: Der eigenartige Firmennamen stammt aus dem Japanischen und umschreibt eine buddhistische Lehre, wonach jener der Wirklichkeit näher kommt, der mit Unzulänglichkeit, Vergänglichkeit und Unvollständigkeit umzugehen lernt.
