haddix running out of time

Von Martin Schulz technology 8 Min. Lesezeit
haddix running out of time

Stell dir vor, du hast gerade 50.000 Euro an Bug-Bounty-Prämien innerhalb von nur 48 Stunden ausgezahlt. Dein Posteingang quillt über mit Berichten über Cross-Site Scripting (XSS) und Subdomain Takeovers. Auf den ersten Blick sieht das nach Erfolg aus – du findest Lücken, bevor es die Bösen tun. Aber wenn ich mir die Berichte ansehe, stelle ich fest: Nichts davon betrifft deine Kronjuwelen. Die Angreifer ignorieren deine Hauptdatenbank und konzentrieren sich stattdessen auf eine vergessene Marketing-Microsite aus dem Jahr 2018. Du verbrennst Geld für Bagatellen, während die kritische Infrastruktur weiterhin offen wie ein Scheunentor steht. Ich habe dieses Szenario bei Dutzenden von Unternehmen gesehen, die dachten, Quantität sei gleich Qualität. Sie verfallen in Panik, weil sie das Gefühl haben, die Kontrolle über ihre Angriffsfläche zu verlieren. Genau hier setzt das Konzept von Haddix Running Out Of Time an, das uns klarmacht, dass Zeit die einzige Ressource ist, die ein Sicherheitsforscher oder ein Unternehmen niemals zurückbekommt. Wer seine Zeit mit dem Sammeln von wertlosen Duplikaten verschwendet, hat den Kampf bereits verloren.

Die Falle der automatisierten Massen-Scans

Der häufigste Fehler, den ich bei Sicherheitsteams sehe, ist der blinde Glaube an Tools. Man kauft eine Lizenz für einen teuren Schwachstellen-Scanner, lässt ihn über das gesamte Netzwerk laufen und denkt, man sei sicher. Das ist ein Irrtum, der dich Kopf und Kragen kosten kann. Ein automatisierter Scan findet nur das, was bereits bekannt ist. Echte Angreifer, die Profis, nutzen diese Tools nur, um das Rauschen im Hintergrund zu erzeugen, während sie manuell nach logischen Fehlern suchen, die kein Algorithmus der Welt erkennt.

Wenn du dich nur auf die Automatisierung verlässt, fütterst du dein Team mit unnötiger Arbeit. Sie sortieren hunderte von Fehlalarmen aus, während ein findiger Hacker eine unsichere direkte Objektreferenz (IDOR) in deiner Zahlungsabwicklung findet. In meiner Praxis habe ich erlebt, wie Firmen monatelang Patches für unkritische TLS-Konfigurationen ausgerollt haben, nur um dann durch einen einfachen Passwort-Reset-Bug komplett übernommen zu werden. Die Lösung liegt nicht in mehr Scans, sondern in der gezielten manuellen Analyse der kritischen Pfade. Du musst dort graben, wo es wehtut, und nicht dort, wo der Boden am weichsten ist.

Warum Haddix Running Out Of Time die Prioritäten verschiebt

Sicherheitsforschung ist ein Wettlauf gegen die Uhr. Viele Teams machen den Fehler, ihre Scope-Definition so breit wie möglich zu halten, in der Hoffnung, alles abzudecken. Das Ergebnis ist eine totale Überlastung. Das Prinzip von Haddix Running Out Of Time zwingt uns dazu, die Perspektive des Angreifers einzunehmen, der nur begrenzte Ressourcen hat. Ein Angreifer wird nicht ewig an einer gehärteten Firewall rütteln, wenn er über eine einfache Phishing-Mail oder einen vergessenen Test-Server reinkommt.

Die Illusion der vollständigen Abdeckung

Es gibt keine 100-prozentige Sicherheit. Wer das behauptet, hat entweder keine Ahnung oder will dir etwas verkaufen. Wenn du versuchst, jedes einzelne Asset mit der gleichen Intensität zu schützen, schützt du am Ende gar nichts effektiv. Ich rate Kunden immer dazu, eine strikte Priorisierung vorzunehmen. Was sind die drei Dinge, deren Verlust dein Unternehmen morgen ruinieren würde? Konzentriere dich darauf. Alles andere ist Beifang. Ich habe Unternehmen gesehen, die Millionen in die Absicherung ihrer Office-Umgebung gesteckt haben, während der Quellcode ihrer Kernanwendung auf einem schlecht gesicherten GitLab-Server lag. Das ist kein Pech, das ist strategisches Versagen durch falsche Prioritätensetzung.

Der Mythos der schnellen Bug Bounty Erfolge

Ein Bug-Bounty-Programm zu starten ist einfach. Es erfolgreich zu betreiben, ist harte Arbeit. Ein großer Fehler ist es, mit extrem hohen Kopfgeldzahlungen zu starten, ohne die internen Prozesse für das Patch-Management geklärt zu haben. Was passiert? Die Forscher stürzen sich auf dein Programm, liefern dir 20 kritische Lücken in einer Woche, und deine Entwickler kommen mit dem Fixen nicht hinterher. Die Forscher werden sauer, weil sie auf ihr Geld warten, dein Ruf in der Community sinkt, und am Ende stehst du schlechter da als vorher.

Ich habe ein Szenario miterlebt, bei dem ein deutscher Mittelständler ein Programm startete und innerhalb von drei Tagen 100.000 Euro an validen Reports ansammelte. Das Problem war: Das Budget für das gesamte Jahr betrug 120.000 Euro. Sie mussten das Programm pausieren, was wie ein Signalfeuer für unethische Hacker wirkte: „Hier gibt es viele Lücken, aber kein Geld mehr.“ Die Lösung ist ein gestaffelter Start. Fang klein an, lade nur eine Handvoll vertrauenswürdiger Forscher ein (Private Program) und skaliere erst, wenn deine internen Prozesse stabil sind. Konsistenz schlägt Geschwindigkeit jedes Mal.

Vorher und Nachher: Die Transformation der Angriffsfläche

Schauen wir uns ein konkretes Beispiel aus der Praxis an. Ein Finanzdienstleister, nennen wir ihn Projekt X, hatte ein klassisches Problem.

💡 Das könnte Sie interessieren: play store apps automatisch aktualisieren

Vorher: Das Team von Projekt X konzentrierte sich auf eine „Defense in Depth“-Strategie, die auf dem Papier toll aussah. Sie hatten Firewalls, Intrusion Detection Systeme und machten wöchentliche Scans. Ihr Scope für Sicherheitsuntersuchungen war „alles, was eine IP-Adresse hat“. Das Resultat war ein riesiger Haufen an Daten, aber null Erkenntnisse darüber, wie ein tatsächlicher Einbruch ablaufen würde. Bei einem simulierten Angriff brauchte ein Red Team genau vier Stunden, um über eine vergessene Jenkins-Instanz, die für ein internes Experiment genutzt wurde, Admin-Zugriff auf die Cloud-Infrastruktur zu erhalten. Die teuren Sicherheitsvorkehrungen waren völlig nutzlos, weil sie an der falschen Stelle standen.

Nachher: Nachdem sie den Ansatz radikal geändert hatten, strichen sie 80 % der unwichtigen Systeme aus dem Fokus der intensiven Überprüfung. Sie akzeptierten, dass eine Marketing-Seite gehackt werden könnte, solange sie vom Rest des Netzes isoliert ist. Sie investierten die gesparte Zeit und das Geld in tiefgehende, manuelle Code-Reviews der Authentifizierungs-Schnittstellen und führten ein zielgerichtetes Programm ein, das explizit Logikfehler belohnte. Als das nächste Mal ein Angreifer versuchte, über ein veraltetes System einzudringen, landete er in einer isolierten Sandbox ohne Zugriff auf Kundendaten. Das Team reagierte nicht mehr panisch auf jeden kleinen Scan-Treffer, sondern arbeitete gezielt die Schwachstellen ab, die wirklich eine Gefahr darstellten. Die Kosten für die Sicherheitsüberprüfungen sanken um 30 %, während die tatsächliche Resilienz massiv anstieg.

Die Gefahr von „Recon-Only“ Ansätzen

Es gibt einen Trend in der Szene, sich nur auf die Aufklärung (Recon) zu konzentrieren. Die Leute finden tausende von Subdomains und denken, sie hätten den heiligen Gral gefunden. Aber Recon ohne Exploitation ist nur eine Liste von Namen. Ich sehe oft, dass Firmen hunderte Stunden darin investieren, ihre gesamte Subdomain-Struktur zu kartieren, nur um dann festzustellen, dass 90 % dieser Domains gar keine Angriffsfläche bieten, weil dort nichts läuft außer einer Standard-Seite des Hosters.

Du musst lernen, Spreu vom Weizen zu trennen. Ein erfahrener Praktiker weiß, dass eine einzige, tiefgehende Schwachstelle in einer API wertvoller ist als 50 offene Ports an unwichtigen Systemen. In der Zeit, die du brauchst, um eine perfekte Liste aller deiner digitalen Besitztümer zu erstellen, hat ein versierter Angreifer längst die eine Lücke gefunden, die er braucht. Effizienz bedeutet hier, die Aufklärung als Mittel zum Zweck zu sehen, nicht als das Ziel selbst. Wenn du dich in den Details verlierst, verlierst du den Blick für das Große und Ganze.

Realitätscheck: Was es wirklich braucht

Machen wir uns nichts vor. Es gibt keine magische Software, die du installierst und die alle deine Probleme löst. Sicherheit ist ein endloser Prozess des Scheiterns und Lernens. Der Ansatz von Haddix Running Out Of Time erinnert uns daran, dass wir klug mit unseren Kräften haushalten müssen. Wenn du glaubst, du kannst dich mit einem Bug-Bounty-Programm zur Sicherheit „kaufen“, wirst du enttäuscht werden.

🔗 Weiterlesen: dt 990 pro 250 ohm

Was du wirklich brauchst:

  1. Ehrlichkeit gegenüber dir selbst: Du musst zugeben können, welche Teile deiner Infrastruktur Schrott sind. Es bringt nichts, eine alte Anwendung zu verteidigen, die eigentlich abgeschaltet gehört.
  2. Direkte Kommunikationswege: Wenn ein Sicherheitsforscher einen Fehler meldet, muss dieser Bericht sofort bei dem Entwickler landen, der den Code geschrieben hat – nicht erst durch drei Management-Ebenen wandern.
  3. Mut zur Lücke: Du kannst nicht alles schützen. Akzeptiere ein gewisses Restrisiko bei unkritischen Systemen, um deine Ressourcen für die Verteidigung deiner Existenzgrundlage zu bündeln.
  4. Harte Arbeit statt Hype: Ignoriere die neuesten Marketing-Buzzwords. Konzentriere dich auf die Grundlagen: Patch-Management, starke Authentifizierung und eine Architektur, die davon ausgeht, dass der Angreifer bereits im Netz ist.

Erfolg in der IT-Sicherheit kommt nicht von der modernsten Technik, sondern von der klügsten Strategie. Du hast nicht unendlich viel Zeit, und deine Gegner haben sie auch nicht. Wer seine Züge schneller und präziser setzt, gewinnt. Es geht nicht darum, keine Fehler zu machen – das ist unmöglich. Es geht darum, die Fehler zu machen, die dich nicht umbringen, und aus ihnen schneller zu lernen als die Konkurrenz. Das ist die brutale Realität, und je früher du sie akzeptierst, desto eher hörst du auf, dein Geld für Sicherheits-Theater aus dem Fenster zu werfen.

MS

Martin Schulz

Martin Schulz hat für verschiedene Online-Redaktionen gearbeitet und steht für Qualitätsjournalismus mit Substanz.

Ähnliche Artikel

Warum die meisten Budgets bei Anthropic durch falsches Prompting und naive Skalierung verbrennen

Warum die meisten Budgets bei Anthropic durch falsches Prompting und naive Skalierung verbrennen
Wie Infineon im Verborgenen unsere Wirklichkeit zusammenhält

Wie Infineon im Verborgenen unsere Wirklichkeit zusammenhält
Das Flüstern der fernen Giganten oder was A39 uns verschweigt

Das Flüstern der fernen Giganten oder was A39 uns verschweigt
Das Flüstern der unsichtbaren Netze von Sap

Das Flüstern der unsichtbaren Netze von Sap