When Security Becomes a One-Way Street — My Experience with Responsible Disclosure in the Hive Ecosystem

Wenn Sicherheit zur Einbahnstraße wird — meine Erfahrung mit Responsible Disclosure im Hive-Ökosystem

Es gibt Momente, da sitzt man vor dem Bildschirm und fragt sich ernsthaft: warum tue ich das eigentlich?

Nicht weil die Arbeit keinen Spaß macht. Nicht weil ich nicht wüsste, was ich tue. Sondern weil man mal wieder feststellt, dass die Leute, für die man sich einsetzt, das schlicht nicht interessiert.

Ich schreibe diesen Artikel nicht aus Wut. Na ja, vielleicht ein bisschen. Aber hauptsächlich schreibe ich ihn, weil ich das Gefühl habe, dass die Community das wissen sollte — wie manche Projekte in diesem Ökosystem mit Menschen umgehen, die ihre persönliche Zeit investieren, um deren Nutzer zu schützen.

Der Kontext: Was Security Research wirklich bedeutet

Bevor ich anfange, möchte ich eines klarstellen, weil es immer wieder missverstanden wird.

Ja, es gibt KI-Tools. Ja, die helfen dabei, Schwachstellen schneller zu erkennen, zu kategorisieren und in Berichte zu verwandeln. Das ist großartig und ich nutze das auch.

Aber was zwischen "KI hat etwas gefunden" und "fertiger, professioneller Disclosure-Report liegt auf dem Tisch" passiert — das ist alles andere als automatisch. Das ist Stunden um Stunden eigener Arbeit. Das bedeutet: Proof-of-Concept bauen, Videos aufnehmen, Webhook-Endpoints einrichten, NordVPN-Exit-Nodes wechseln, dokumentieren, nochmals dokumentieren, CVSS-Scores berechnen, Auswirkungen für echte Nutzer bewerten, Remediation-Vorschläge ausarbeiten und das alles so aufbereiten, dass ein Entwickler es sofort umsetzen kann.

Kein KI-Tool setzt sich nachts hin und zeichnet dual-browser Proof-of-Concept Videos auf. Das macht der Mensch. Ich. Mit meiner Zeit. Kostenlos.

Und genau das ist der Punkt, an dem die Wertschätzung — oder das Fehlen davon — den Unterschied macht.

Was ich gefunden habe — ohne zu viel zu verraten

Ich habe eine Sicherheitslücke in einer bekannten Hive-Plattform entdeckt. Eine Schwachstelle, die jeden einzelnen Nutzer betrifft, der eine bestimmte öffentlich zugängliche Seite besucht — komplett ohne Login, ohne Interaktion, einfach durch das Öffnen der URL.

Ich werde die technischen Details hier noch nicht veröffentlichen, weil die Lücke zum Zeitpunkt dieses Artikels noch nicht gefixt ist. Responsible Disclosure bedeutet, dass man dem Unternehmen eine faire Chance gibt, das Problem zu beheben, bevor man es öffentlich macht. Das ist der Standard. Den halte ich ein — auch wenn er mich inzwischen an den Rand meiner Geduld bringt.

Was ich sagen kann: Ich habe nicht nur einen Screenshot gemacht und eine E-Mail geschrieben. Ich habe einen vollständigen Audit-Report geliefert — mit CVSS-Score, CWE-Klassifizierung, OWASP-Kategorisierung, Proof-of-Concept Videos, Webhook-Logs mit realen Drittnutzer-Daten die unfreiwillig betroffen waren, Remediation-Vorschlägen und einer vollständigen Disclosure-Timeline.

Das ist kein "hey ich glaube da ist was komisch"-E-Mail. Das ist professionelle Arbeit.

Die Antwort: Ein Meisterwerk der Gleichgültigkeit

Ich habe den Report eingereicht und auf eine Reaktion gewartet. Was ich bekommen habe, war — und ich sage das ohne Übertreibung — eine der bemerkenswertesten E-Mails, die ich in diesem Kontext je erhalten habe.

Der Kern der Nachricht, frei zusammengefasst: Wir haben sehr viele Security-Reports, die uns viel Zeit kosten. Wir können uns das nicht leisten. Außerdem spielst du das Spiel ja gar nicht mehr und hast keine Assets — also wissen wir nicht ob deine Motivation wirklich im Interesse des Spiels liegt. Bitte schick uns nichts mehr.

Ich musste das zweimal lesen.

Die Aussage, dass meine Motivation fragwürdig ist, weil ich keine Ingame-Assets mehr besitze, ist so als würde ein Krankenhaus einem Arzt sagen: "Du bist selbst nicht krank, also warum sollten wir deiner Diagnose vertrauen?"

Sicherheit ist keine Frage persönlicher Betroffenheit. Sicherheitsforschung ist eine Frage von Fachwissen, Verantwortungsgefühl und — ja — dem Respekt gegenüber Menschen, die eine Plattform nutzen und darauf vertrauen dass jemand aufpasst.

Das alles wurde, wie ich später erfuhr, vom CEO persönlich abgesegnet. Gut zu wissen.

Bug Bounties: Zwischen Goodwill und Abspeiseung

Ich möchte an dieser Stelle kurz über Bug Bounties sprechen, weil das Thema im Crypto- und Web3-Bereich noch immer stiefmütterlich behandelt wird.

Ein Bug Bounty Programm ist keine Geste der Großzügigkeit. Es ist ein Sicherheitsnetz — für das Unternehmen. Es schafft einen strukturierten, fairen Kanal für externe Researcher und sorgt dafür, dass Schwachstellen gemeldet werden, bevor sie ausgenutzt werden. Unternehmen wie Google, Microsoft oder große DeFi-Protokolle zahlen im Fünfstelligen für kritische Lücken — nicht weil sie müssen, sondern weil sie verstanden haben, dass das günstiger ist als der Schaden danach.

Was ich bisher für meine Arbeit bekommen habe: einmalig 10 Dollar. Als "Goodwill-Geste". Für einen anderen Report, die ich gemeldet hatte ein paar Tage zuvor. Vor einigen Jahren sah das noch besser aus und wurde viel besser behandelt.

Ich sage nicht, dass ich reich werden will mit Security Research. Aber 10 Dollar für Stunden dokumentierter Arbeit ist keine Wertschätzung — das ist eine Aussage über den Stellenwert den Sicherheit in diesem Unternehmen hat.

Was jetzt passiert

Ich werde die Lücke nicht für immer unter Verschluss halten. Das wäre kein verantwortungsvoller Umgang mit dem Wissen. Nach Ablauf der standardmäßigen 90-tägigen Responsible-Disclosure-Frist werde ich alles veröffentlichen — vollständig, technisch, mit allen Details.

Bis dahin: das Unternehmen hat alles was es braucht, um das Problem zu beheben. Die Entscheidung was sie damit machen liegt bei ihnen.

Ich habe meinen Teil getan.

Abschluss:
Warum ich das trotzdem weiter mache

Ich werde nicht aufhören, Sicherheitslücken zu melden. Nicht weil es sich immer lohnt. Nicht weil ich immer respektvoll behandelt werde. Sondern weil am Ende echte Menschen hinter diesen Plattformen stehen, die nichts dafür können dass ihr CEO keine Lust hat, eine E-Mail zu lesen.

Aber ich werde mir sehr genau überlegen, bei wem ich meine Zeit investiere. Und ich werde sehr genau hinschauen, wie Projekte in diesem Ökosystem mit Leuten umgehen, die freiwillig dazu beitragen es sicherer zu machen.

Denn Sicherheit ist keine Einbahnstraße. Und Respekt auch nicht.