[Brisant] BND will Sicherheitslücken kaufen und ausnutzen

vialukai · 09.11.14, 20:08

Zitat:

BND will Sicherheitslücken kaufen und ausnutzen

Um besser in fremde Programme eindringen zu können, will der BND auch sogenannte Zero Day Exploits kaufen. Experten halten das für eine dumme Idee der staatlichen Hacker.

Zero Day Exploits heißen Lücken in Computerprogrammen, die noch nicht öffentlich bekannt sind. Wer von einer solchen weiß, kann sie somit ausnutzen und anderen Schaden zufügen, da es noch keine Abwehr dagegen gibt. Entsprechende Firmen handeln schon lange mit solchen Sicherheitslücken und lassen sich ihr Wissen teuer bezahlen, durchaus auch von Kriminellen. Die NSA ist Teil dieses Geschäftes. Nun will auch der BND mitmachen.

Im vergangenen Jahr wurde bekannt, dass die NSA Millionen dafür ausgibt, um auf dem freien Markt Informationen über Softwarelücken zu kaufen. Die Washington Post schrieb, allein 2013 habe der Geheimdienst 25 Millionen Dollar für solche Exploits gezahlt.
Anzeige

Das heißt nicht, dass die Spione die Lücken bei Kriminellen kaufen. Es gibt viele Sicherheitsfirmen, die sich mit diesem Thema befassen. Aber der Handel damit ist ein zumindest grauer Markt. Schließlich gibt es nur wenige Käufergruppen: eben Geheimdienste, die betroffenen Firmen selbst und Kriminelle.

Wie der Spiegel nun berichtet, will der BND in Zukunft dabei mitspielen. Unter Berufung auf geheime Unterlagen schreibt das Magazin, der BND habe es sich zum Ziel gesetzt, die im Internet bei der Datenübertragung an Websites übliche Verschlüsselung SSL zu umgehen. Das Projekt mit dem Titel Nitidezza, was italienisch für Bildschärfe ist, ist demnach Teil der "Strategischen Initiative Technik". Dafür seien insgesamt 4,5 Millionen Euro eingeplant. Im Rahmen des Projektes wolle der Geheimdienst auch auf eben solche Zero Day Exploits setzen.

Die Strategische Initiative Technik ist ein Programm zur Modernisierung des BND. Ursprünglich wollte der Dienst dafür 300 Millionen Euro haben, um mit anderen Geheimdiensten "auf Augenhöhe" arbeiten zu können. Der Haushaltsausschuss hat vorerst sechs Millionen Euro bewilligt. Das Ganze ist aber noch nicht vollständig entschieden.
"Gefahr für die eigenen Bürger"

Das Einkaufen von Zero Day Exploits ist dabei aus Sicht des BND nachvollziehbar, aus Sicht der normalen Nutzer im Netz aber eine schlechte Idee. Denn damit steigt der Anreiz für Entwickler und spezialisierte Firmen, solche Lücken nicht zu beseitigen, sondern sie zu verkaufen, damit sie ausgenutzt werden können. Sehenden Auges wird dabei die Sicherheit der Nutzer geopfert, um Geld zu verdienen.

Der Spiegel zitiert Michael Waidner, den Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie, mit den Worten: "Den Markt für Schwachstellen zu unterstützen, ist aus staatlicher Sicht eine extrem schlechte Idee." Jede Lücke sei für die eigenen Bürger, Behörden und Unternehmen ein großes Risiko, da niemand wisse, wer alles das Wissen um solche Schwachstellen kaufe.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Destiny · 09.11.14, 20:28

Das klingt ja gerade so, als wenn der BND der große Samariter ist, der uns vor allem Übel bewahren will.

Dass Sicherheitslücken ein Problem sind, bestreitet keiner, aber dass solche verkauft werden und dass unser BND diese kaufen will... Ein Schelm, wer Böses dabei denkt.

Mokgor · 10.11.14, 21:33

Ja und woher das Geld dafür genommen wird, hmm hmm.
:^)

kopierpapier · 10.11.14, 21:54

Firma entwickelt Software. Software hat "zufällig" Lücke. Firma gibt anderer Firma bescheid. Andere Firma verkauft Lücke. Firma und andere Firma machen halbe halbe.

Odatas · 11.11.14, 12:16

War da nicht was das unsere Regierung uns eigentlich vor Schaden schützen sollte? Und jetzt kauft sie Sicherheitslücken und anstatt diese zu Schließen, damit auch kein anderer die ausnutzen kann wird die dann noch genutzt?