Abo
  • Services:
Anzeige
Der Heartbleed-Bug hätte auf dem Schwarzmarkt sicher hohe Summen erzielen können.
Der Heartbleed-Bug hätte auf dem Schwarzmarkt sicher hohe Summen erzielen können. (Bild: EFF)

BND-Kauf von Zero Days: CCC warnt vor "Mitmischen im Schwachstellen-Schwarzmarkt"

Der Heartbleed-Bug hätte auf dem Schwarzmarkt sicher hohe Summen erzielen können.
Der Heartbleed-Bug hätte auf dem Schwarzmarkt sicher hohe Summen erzielen können. (Bild: EFF)

"An Dreistigkeit kaum zu überbieten": Der Chaos Computer Club kritisiert die angeblichen Pläne des BND zum Ankauf von bislang unbekannten Sicherheitslücken. Das Geld ließe sich viel besser verwenden.

Anzeige

Der Chaos Computer Club warnt vor dem möglichen Ankauf von Zero-Day-Exploits durch den Bundesnachrichtendienst. Dadurch würde der Anreiz steigen, aufgespürte Sicherheitslücken im Geheimen zu handeln und gezielt vermeintlich harmlose Fehler in kritische Softwarekomponenten einzubauen, sagte der Sprecher des Chaos Computer Club (CCC), Dirk Engling, am Montag und fügte hinzu: "Wenn auch deutsche Geheimdienste diesen Schwarzmarkt mit unseren Steuergeldern noch anheizten, würde das erhebliche Folgekosten für die Wirtschaft haben, die schon heute kaum hinterherkommt, ihre technische Infrastruktur gegen Angriffe zu verteidigen."

Der Spiegel hatte am Wochenende berichtet, der Bundesnachrichtendienst (BND) habe bis 2020 rund 4,5 Millionen Euro eingeplant, um beispielsweise die gängige Transportverschlüsselung SSL zu knacken. Um SSL zu umgehen, will der BND Informationen über Software-Schwachstellen einkaufen, wie sie beispielsweise im April 2014 mit dem sogenannten Heartbleed-Bug bekanntgeworden waren.

Lücken könnten lange Zeit unentdeckt bleiben

Der CCC hält einen solchen Missbrauch kritischer Sicherheitslücken in mehrfacher Weise für gefährlich. So werde es Bürgern und Unternehmen erschwert, sich vor technischen Angriffen auf persönliche Daten oder Geschäftsgeheimnisse zu schützen. Zudem werde dritten Geheimdiensten das Ausspähen von Staats- und Betriebsgeheimnissen erleichtert. Angesichts der aktuellen Aufklärungsversuche durch den NSA-Untersuchungsausschuss seien die Forderungen des BND "an Dreistigkeit kaum zu überbieten".

Die "Logik des Mitmischens im Schwachstellen-Schwarzmarkt" führe dazu, dass Geheimdienste ein Interesse daran haben müssten, wenn eklatante Sicherheitslücken möglichst lange unentdeckt blieben, während sie gleichzeitig nicht sicherstellen könnten, dass dieselbe Sicherheitslücke nicht auch von Kriminellen entdeckt oder parallel an diese verkauft würde. So könnten Lücken für lange Zeit unbemerkt ausgenutzt werden.

Schädigung der deutschen Wirtschaft

Nach Ansicht des CCC wäre der Erwerb und Handel mit Sicherheitslücken durch den BND "nicht nur in mehrfacher Hinsicht rechtlich fragwürdig, sondern ist auch eine direkte und vorsätzliche Schädigung der deutschen Wirtschaft." Sicherheitslücken sollten nach der Entdeckung geschlossen und nicht geheim gehalten werden, solange es irgendwie geht.

Der CCC fordert daher ein Verbot des Aufkaufs und der Verwendung von Zero-Day-Exploits durch Geheimdienste und andere deutsche Behörden. Stattdessen sollten die eingesparten Mittel in die Förderung von Software-Audits investiert werden. Deutsche Behörden und Unternehmen sollten zudem verpflichtet werden, im Rahmen einer "responsible disclosure" alle ihr bekanntgewordenen kritischen Sicherheitslücken zu veröffentlichen.

NSA darf weiter Zero Days aufkaufen

Seit dem Beginn der NSA-Enthüllungen wird auch in den USA diskutiert, inwieweit die NSA sich am Kauf von Zero-Days beteiligen darf. So war spekuliert worden, dass dem US-Auslandsgeheimdienst auch die Heartbleed-Lücke bereits seit längerem bekannt war. Dies hatte der Dienst aber dementiert. Eine von US-Präsident Barack Obama eingesetzte Expertenkommission forderte im Dezember 2013, dass Zero-Day-Exploits nur noch für Ausspähaktionen in hochwichtigen Fällen genutzt werden sollten.

In anderen Fällen sollte dafür gesorgt werden, solche Schwachstellen schnell zu beheben. Obama selbst soll der NSA im Januar 2014 erlaubt haben, in bestimmten Fällen Sicherheitslücken nicht zu melden. Die Bürgerrechtsorganisationen Electronic Frontier Foundation (EFF) will die US-Geheimdienste inzwischen gerichtlich dazu zwingen, ihre Entscheidungsgrundlagen zur Veröffentlichung von Zero-Day-Exploits bekanntzugeben.

Nachtrag vom 10. November 2014, 14:50 Uhr

Die Bundesregierung bestätigte am Montag die Zusammenarbeit deutscher Behörden mit der französischen Software-Sicherheitsfirma Vupen. Ein Sprecher des Bundesinnenministeriums sagte am Montag in Berlin, die Erkenntnisse aus der Zusammenarbeit mit Vupen seien vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vor allem für den Schutz der Regierungsnetze und nicht zur Weitergabe an Dritte erworben worden. Die Zusammenarbeit mit der französischen Firma sei inzwischen beendet worden.

Regierungssprecher Steffen Seibert erklärte, Ziel der Bundesregierung sei es, die Abhängigkeit von ausländischen Dienstleistern im Bereich IT-Sicherheit weiter zu reduzieren. "Es trifft zu, dass der BND plant, seine vorhandene technische Basis zu stärken", sagte Seibert. Das zentrale Element dieser Initiative sei der Aufbau eines Frühwarnsystems für Cyberangriffe.

Nach Ansicht der Grünen sind die Pläne "mit rechtsstaatlichen Vorgaben nicht zu vereinbaren". Durch den Ankauf, das Offenhalten und die Nutzung von Sicherheitslücken würden die Vertraulichkeit und Integrität informationstechnischer Systeme offen infrage gestellt, sagte der netzpolitische Sprecher der Grünen-Fraktion im Bundestag, Konstantin von Notz. Dadurch werde die IT-Sicherheit nicht erhöht, sondern ausgehöhlt. Da Exploits immer auch durch Kriminelle genutzt würden, ergäben sich "eklatante Sicherheitsrisiken für Bürgerinnen und Bürger, aber auch die Wirtschaft".


eye home zur Startseite
tKahner 10. Nov 2014

@spYro: Ja, da stimme ich Dir im Wesentlichen zu! Aber ich wiederhole meine These, dass...

spYro 10. Nov 2014

Eine Verschlüsselung ist nur so gut, wie sie in Hard- und Software implementiert ist...

manitu 10. Nov 2014

Am besten stehen die lieben Black-Hats da. Wenn ich ein Exploit schreiben würde und das...

spambox 10. Nov 2014

Diese beiden Staatsorgane sind außer Kontrolle geratene, kriminelle Banden. Das ist keine...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. THOMAS SABO GmbH & Co. KG, Lauf / Pegnitz
  3. Salzgitter Flachstahl GmbH, Salzgitter
  4. Isar Kliniken GmbH, München


Anzeige
Blu-ray-Angebote
  1. (u. a. Der Marsianer, The Hateful 8, Interstellar, Django Unchained, London Has Fallen, Olympus Has...
  2. 18,00€ (ohne Prime bzw. unter 29€-Einkaufswert zzgl. 3€ Versand)
  3. 24,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Delid Die Mate 2

    Prozessoren köpfen leichter gemacht

  2. Rückzieher

    Assange will nun doch nicht in die USA

  3. Oracle

    Critical-Patch-Update schließt 270 Sicherheitslücken

  4. Android 7.0

    Samsung verteilt Nougat-Update für S7-Modelle

  5. Forcepoint

    Carbanak nutzt Google-Dienste für Malware-Hosting

  6. Fabric

    Google kauft Twitters App-Werkzeuge mit Milliarden Nutzern

  7. D-Link

    Büro-Switch mit PoE-Passthrough - aber wenig Anschlüssen

  8. Flash und Reader

    Adobe liefert XSS-Lücke als Sicherheitsupdate

  9. GW4 und Mont-Blanc-Projekt

    In Europa entstehen zwei ARM-Supercomputer

  10. Kabelnetz

    Vodafone stellt Bayern auf 1 GBit/s um



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Intel Core i7-7700K im Test: Kaby Lake = Skylake + HEVC + Overclocking
Intel Core i7-7700K im Test
Kaby Lake = Skylake + HEVC + Overclocking
  1. Kaby Lake Intel macht den Pentium dank HT fast zum Core i3
  2. Kaby Lake Refresh Intel plant weitere 14-nm-CPU-Generation
  3. Intel Kaby Lake Vor der Vorstellung schon im Handel

Dienste, Programme und Unternehmen: Was 2016 eingestellt und geschlossen wurde
Dienste, Programme und Unternehmen
Was 2016 eingestellt und geschlossen wurde
  1. Kabel Mietminderung wegen defektem Internetkabel zulässig
  2. Grundversorgung Kanada macht Drosselung illegal
  3. Internetzugänge 50 MBit/s günstiger als 16 MBit/s

GPD Win im Test: Crysis in der Hosentasche
GPD Win im Test
Crysis in der Hosentasche
  1. FTC Qualcomm soll Apple zu Exklusivvertrag gezwungen haben
  2. Steadicam Volt Steadicam-Halterung für die Hosentasche
  3. Tastaturhülle Canopy hält Magic Keyboard und iPad zum Arbeiten zusammen

  1. Re: Ein vom Provider gemanagter Router hat mehr...

    Niaxa | 22:24

  2. Re: Eigenproduktion

    Squirrelchen | 22:18

  3. Re: Netflix internationaler als Amazon?

    Squirrelchen | 22:14

  4. Re: Golem.de emails in den BND Leaks

    Majin23 | 22:11

  5. Re: Adobe - Die Fabrik der Sicherheitslücken

    DetlevCM | 22:10


  1. 18:28

  2. 18:07

  3. 17:51

  4. 16:55

  5. 16:19

  6. 15:57

  7. 15:31

  8. 15:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel