Kritik am Handel mit Software-Sicherheitslücken
Stand: 11.11.2014
Bildquelle: ©Adobe Stock / Text: dpa
Berlin - Experten reagieren mit Kritik auf Meldungen, der deutsche Bundesnachrichtendienst plane, Informationen über Schwachstellen in Computerprogrammen zu kaufen. Das Internet werde durch diesen Handel unsicherer.
Um welche Sicherheitslücken geht es?
Der Bundesnachrichtendienst (BND) will nach einem Bericht des "Spiegel" 4,5 Millionen Euro ausgeben, um Informationen über Sicherheitslücken zu kaufen. Dabei gehe es um sogenannte "zero day exploits". Das sind Schwachstellen in verbreiteten Programmen, die noch nicht öffentlich bekannt sind. Die Hersteller und Nutzer der Programme können sich deshalb nicht schützen - sie sind angreifbar, ohne es zu wissen. "Zero days" spielt auf die Zeit an, die für eine Abwehr bleibt: Nämlich "null Tage".
Wer sucht nach Sicherheitslücken?
Software-Programme sind komplex und enthalten oft zehntausende Zeilen Programmcode. Beim Programmieren unterlaufen regelmäßig Fehler. Deswegen veröffentlichen Hersteller auch immer wieder Sicherheits-Updates, um Lücken zu schließen. Doch nicht nur Firmen prüfen ihre Programme, auch Hacker suchen nach Fehlern.
Wo werden Sicherheitslücken gehandelt?
Die "zero day exploits" würden auf dem Schwarzmarkt "für sechs- bis achtstellige Euro-Beträge gehandelt", erklärte der Chaos Computer Club. Auch der US-Thinktank CSIS schreibt: "Es gibt einen florierenden weltweiten Markt für Zero-Day-Angriffe, auf dem Fachleute ihre Entdeckungen Kriminellen, Regierungen und Herstellern zum Kauf anbieten." Das Wissen werde etwa für Angriffe auf Unternehmen genutzt. Einem Bericht der "New York Times" zufolge sind auch einige Staaten unter den Käufern.
Was macht die Firma Vupen, mit der das Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammengearbeitet hat?
Die französische Firma Vupen sucht gezielt nach "zero day exploits" und stellt das Wissen ihren Kunden zur Verfügung. Auf der eigenen Webseite wirbt Vupen mit Sicherheitslücken, die "speziell für kritische und offensive Cyber-Operationen entworfen" sind. Mit anderen Worten: Die Schwachstellen sind auf Angriffe ausgelegt. Neben Vupen gibt es auch andere Firmen in diesem Bereich.
Welche Gefahr sehen IT-Fachleute?
Bleiben Sicherheitslücken geheim, haben Nutzer keine Möglichkeit, sich zu schützen. Die Schwachstellen bieten so ein Einfallstor für Angreifer. Fachleute plädieren daher dafür, Hersteller von Software über Sicherheitslücken zu informieren. Die Firmen können die Lücken dann stopfen und ein Update für die Nutzer veröffentlichen. Große IT-Unternehmen versuchen zudem, den Handel mit Sicherheitslücken einzudämmen. Microsoft, Google und Facebook verteilen Prämien an Hacker, die Firmen auf Sicherheitslücken hinweisen. Unternehmen veranstalten auch Wettbewerbe mit Preisgeld, um Lücken aufzudecken.
Jetzt Internet-Angebote vergleichen
Mit der Nirgendwo-Günstiger-Garantie von Verivox sind Sie auf der sicheren Seite. Sie haben Ihren Internet- bzw. Mobilfunktarif zum besten Preis gefunden. Sollte es denselben Tarif doch woanders günstiger geben, erstatten wir Ihnen die Preisdifferenz über 24 Monate (max. 100 Euro). Darauf geben wir Ihnen unser Wort. Die Garantie gilt ausschließlich für Tarife, die im Vergleichsrechner von Verivox gelistet sind und über die Bestellstrecke von Verivox abgeschlossen wurden.
-
Top-Anbieter vergleichen
-
Tarife mit bis zu 1.000 Mbit/s
-
Einfach wechseln und bis zu 660 € sparen
So haben wir gerechnet:
Mindestgeschwindigkeit: 50 Mbit/s
Inklusive: Internet, Telefon und Router
Wohnort:: Berlin, 10585, ausgewählte Adressen
Aktueller Tarif: Telekom MagentaZuhause M (nach Mindestlaufzeit), Kosten für die nächsten 24 Monate: 1.077,60 Euro (monatlich: 39,95 Euro + 4,95 Euro für den Router)
Günstigster Tarif: Vodafone GigaZuhause 100 Kabel, Kosten für 24 Monate (inkl. einmaliger Kosten und Vergünstigungen): 416,64 Euro (Durchschnittspreis pro Monat inklusive Router: 17,36 Euro
Einsparung: 660,96 Euro
(Stand: 16.09.2024)
