Abo
  • Services:
Anzeige
NSA-Direktor General Keith Alexander in Erklärungsnot
NSA-Direktor General Keith Alexander in Erklärungsnot (Bild: Saul Loeb/AFP/Getty Images)

NSA: Geheimdienste lassen sich Sicherheitslücken liefern

NSA-Direktor General Keith Alexander in Erklärungsnot
NSA-Direktor General Keith Alexander in Erklärungsnot (Bild: Saul Loeb/AFP/Getty Images)

Tausende US-Firmen tauschen angeblich Informationen über Schwachstellen in ihren Produkten gegen Geheimdienstwissen. Behörden können das für Angriffe nutzen.

US-Technologie-Unternehmen stellen der NSA nicht nur Nutzerdaten zur Verfügung, wie die Enthüllungen von Edward Snowden belegen. Sie melden den US-Geheimdiensten auch Sicherheitslücken ihrer Produkte, bevor sie diese Informationen veröffentlichen. Das berichtet die Nachrichtenagentur Bloomberg unter Berufung auf Informanten, die mit den Vorgängen vertraut sein sollen. Diesen Wissensvorsprung können die US-Behörden nutzen, um in Netzwerke und Computer einzudringen, bevor es ein Sicherheitsupdate durch den Anbieter gibt.

Anzeige

Zero-Day-Attacken heißen solche Angriffe, weil sie praktisch sofort nach der Entdeckung einer Sicherheitslücke stattfinden. Das Wissen um solche Sicherheitslücken ist zu einem begehrten Handelsgut geworden.

So hieß es in einem Reuters-Bericht vor einigen Wochen: "Viele talentierte Hacker, die früher zunächst ein Unternehmen wie Microsoft alarmierten, wenn sie in dessen Produkten eine Sicherheitslücke entdeckten, verkaufen diese Information mittlerweile an den Höchstbietenden - manchmal über Zwischenhändler, die den letztlichen Käufer niemals treffen. Militär und militärische Dienstleister geben zig Millionen Dollar im Jahr für solche Informationen aus." Und zwar nicht zur Abwehr, sondern zum Angriff auf fremde Computer. Im Extremfall für ausgefeilte Attacken wie mit Stuxnet.

50.000 US-Dollar oder mehr bringt der Verkauf einer Zero-Day-Schwachstelle, heißt es im Reuters-Bericht. Solche Summen zahlen nur Kriminelle und Regierungen. Das Nachsehen haben Unternehmen: Microsoft und Apple bezahlen gar nichts für solche Funde, weil sie niemanden zusätzlich motivieren wollen. Facebook, Mozilla, Google und andere haben sogenannte Bug-Bounty-Programme, in denen sie Belohnungen für entdeckte Sicherheitslücken ausloben. Google hat zum Beispiel gerade erst beschlossen, mehr als bisher zu zahlen. 50.000 Dollar für eine Lücke hat aber auch Google noch nie gezahlt.

Es sind nicht nur Hacker, die ihre Funde weitergeben. Laut Bloomberg werden die US-Behörden auch direkt von den Unternehmen beliefert, wenn deren eigene Sicherheitsspezialisten eine Schwachstelle entdecken. Im Tausch dafür bekommen die Unternehmen Zugang zu Geheimdienstinformationen, heißt es in dem Bericht. Und sie stellen sich auf diese Weise gut mit der Regierung, aus Überzeugung oder aus geschäftlichen Interessen.

Nur wenige Mitarbeiter hätten Einblick in diese Vorgänge, oft würden die Verhandlungen direkt zwischen den Vorständen und Spitzenvertretern der Behörden geführt.

Zu den sogenannten "vertrauenswürdigen Partnern" von NSA, CIA, FBI und militärischen Einheiten zählen unter anderem Hersteller von Hardware und Software, Banken, Antivirenspezialisten und Firmen aus dem Bereich der Satellitenkommunikation.

Mit PRISM hat dieser Vorgang nichts zu tun. Bei den Daten und Informationen, die diese Firmen übergeben, soll es sich nicht um private Nutzerdaten handeln. Vielmehr gehe es um Gerätespezifikationen oder Softwareschwachstellen. So würde etwa Microsoft seine Funde erst den Geheimdiensten melden, bevor es sich daran macht, Patches für seine Nutzer zu entwickeln.

Ein Microsoft-Sprecher sagte Bloomberg, man wolle der US-Regierung einen Vorsprung für die Risikoabschätzung und eigene Schutzmaßnahmen geben. Informanten jedoch, die für die Regierung oder eines der beteiligten Unternehmen arbeiteten, sagten Bloomberg, solche Informationen könnten auch für Angriffe genutzt werden.

Aus Sicherheitsforschern werden so zunehmend Unsicherheitsforscher. Es geht ihnen nicht mehr darum, Lücken zu finden, um sie schnell zu schließen, sondern damit sie ausgenutzt werden können.

Allerdings können auch Spezialisten aus anderen Ländern diese Schwachstellen entdecken und ihrerseits an Regierungen oder Kriminelle verkaufen oder sie selbst ausnutzen. Die Strategie, eine Lücke so lange offen zu halten, bis die eigene Seite sie ausnutzt, ist also riskant. Vor allem für die Endverbraucher.


eye home zur Startseite
Thaodan 17. Jun 2013

Er hat das letzte Wort was zu tun ist, allerdings nicht darüber was auch getan wird.

Thaodan 17. Jun 2013

Erst wenn der Staat fällt gelten sie offiziell so, oder meinst du Stasi und Gestapo...

posix 17. Jun 2013

https://ixquick.com/deu/ https://duckduckgo.com/ FirefoxOS Sailfish Ubuntu Phone OS...

posix 17. Jun 2013

Man kann auch gleich alles schwarz malen. Setzen 6 Die USA haben also die Macht jeden...

Eheran 15. Jun 2013

Heißen diese Sicherheitslücken nicht so, weil sie eben schon VOR veröffentlichung...



Anzeige

Stellenmarkt
  1. BOGE, Bielefeld
  2. über Robert Half Technology, Hamburg
  3. TE Connectivity Germany GmbH, Bensheim
  4. MBtech Group GmbH & Co. KGaA, Mannheim


Anzeige
Spiele-Angebote
  1. 349,00€
  2. 43,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. Project Mortar

    Mozilla möchte Chrome-Plugins für Firefox unterstützen

  2. Remedy

    Steam-Version von Quantum Break läuft bei Nvidia flotter

  3. Videostreaming

    Twitch Premium wird Teil von Amazon Prime

  4. Dark Souls & Co.

    Tausende Tode vor Tausenden von Zuschauern

  5. Die Woche im Video

    Grüne Welle und grüne Männchen

  6. Systemd.conf 2016

    Pläne für portable Systemdienste und neue Kernel-IPC

  7. Smartphones und Tablets

    Bundestrojaner soll mehr können können

  8. Internetsicherheit

    Die CDU will Cybersouverän werden

  9. 3D-Flash-Speicher

    Micron stellt erweiterte Fab 10X fertig

  10. Occipital

    VR Dev Kit ermöglicht Roomscale-Tracking per iPhone



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Soziale Netzwerke: Wie ich einen Betrüger aufspürte und seine Mama kontaktierte
Soziale Netzwerke
Wie ich einen Betrüger aufspürte und seine Mama kontaktierte
  1. iOS 10 und WatchOS 3.0 Apple bringt geschwätzige Tastatur-App zum Schweigen
  2. Rio 2016 Fancybear veröffentlicht medizinische Daten von US-Sportlern
  3. Datenbanksoftware Kritische, ungepatchte Zeroday-Lücke in MySQL-Server

Original und Fork im Vergleichstest: Nextcloud will das bessere Owncloud sein
Original und Fork im Vergleichstest
Nextcloud will das bessere Owncloud sein
  1. Koop mit Canonical und WDLabs Nextcloud Box soll eigenes Hosten ermöglichen
  2. Kollaborationsserver Nextcloud 10 verbessert Server-Administration
  3. Open Source Nextcloud setzt sich mit Enterprise-Support von Owncloud ab

Swift Playgrounds im Test: Apple infiziert Kinder mit Programmiertalent
Swift Playgrounds im Test
Apple infiziert Kinder mit Programmiertalent
  1. Asus PG248Q im Test 180 Hertz erkannt, 180 Hertz gebannt

  1. Re: Ein Beispiel woraus man lernen könnte

    Steffo | 20:50

  2. Re: In Deutschland bald 250 MBit/s, in Bamberg...

    RipClaw | 20:49

  3. Re: Geldvorteil

    SchmuseTigger | 20:43

  4. Re: Stimmt

    Ovaron | 20:39

  5. Re: Bei Heartstone soll es dabei gleichzeitig

    SchmuseTigger | 20:38


  1. 13:15

  2. 12:30

  3. 11:45

  4. 11:04

  5. 09:02

  6. 08:01

  7. 19:24

  8. 19:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel