Kritik am Handel mit Software-Sicherheitslücken
Stand: 11.11.2014
Bildquelle: ©Adobe Stock / Text: dpa
Berlin - Experten reagieren mit Kritik auf Meldungen, der deutsche Bundesnachrichtendienst plane, Informationen über Schwachstellen in Computerprogrammen zu kaufen. Das Internet werde durch diesen Handel unsicherer.
Um welche Sicherheitslücken geht es?
Der Bundesnachrichtendienst (BND) will nach einem Bericht des "Spiegel" 4,5 Millionen Euro ausgeben, um Informationen über Sicherheitslücken zu kaufen. Dabei gehe es um sogenannte "zero day exploits". Das sind Schwachstellen in verbreiteten Programmen, die noch nicht öffentlich bekannt sind. Die Hersteller und Nutzer der Programme können sich deshalb nicht schützen - sie sind angreifbar, ohne es zu wissen. "Zero days" spielt auf die Zeit an, die für eine Abwehr bleibt: Nämlich "null Tage".
Wer sucht nach Sicherheitslücken?
Software-Programme sind komplex und enthalten oft zehntausende Zeilen Programmcode. Beim Programmieren unterlaufen regelmäßig Fehler. Deswegen veröffentlichen Hersteller auch immer wieder Sicherheits-Updates, um Lücken zu schließen. Doch nicht nur Firmen prüfen ihre Programme, auch Hacker suchen nach Fehlern.
Wo werden Sicherheitslücken gehandelt?
Die "zero day exploits" würden auf dem Schwarzmarkt "für sechs- bis achtstellige Euro-Beträge gehandelt", erklärte der Chaos Computer Club. Auch der US-Thinktank CSIS schreibt: "Es gibt einen florierenden weltweiten Markt für Zero-Day-Angriffe, auf dem Fachleute ihre Entdeckungen Kriminellen, Regierungen und Herstellern zum Kauf anbieten." Das Wissen werde etwa für Angriffe auf Unternehmen genutzt. Einem Bericht der "New York Times" zufolge sind auch einige Staaten unter den Käufern.
Was macht die Firma Vupen, mit der das Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammengearbeitet hat?
Die französische Firma Vupen sucht gezielt nach "zero day exploits" und stellt das Wissen ihren Kunden zur Verfügung. Auf der eigenen Webseite wirbt Vupen mit Sicherheitslücken, die "speziell für kritische und offensive Cyber-Operationen entworfen" sind. Mit anderen Worten: Die Schwachstellen sind auf Angriffe ausgelegt. Neben Vupen gibt es auch andere Firmen in diesem Bereich.
Welche Gefahr sehen IT-Fachleute?
Bleiben Sicherheitslücken geheim, haben Nutzer keine Möglichkeit, sich zu schützen. Die Schwachstellen bieten so ein Einfallstor für Angreifer. Fachleute plädieren daher dafür, Hersteller von Software über Sicherheitslücken zu informieren. Die Firmen können die Lücken dann stopfen und ein Update für die Nutzer veröffentlichen. Große IT-Unternehmen versuchen zudem, den Handel mit Sicherheitslücken einzudämmen. Microsoft, Google und Facebook verteilen Prämien an Hacker, die Firmen auf Sicherheitslücken hinweisen. Unternehmen veranstalten auch Wettbewerbe mit Preisgeld, um Lücken aufzudecken.