Anzeige
NSA-Direktor General Keith Alexander in Erklärungsnot
NSA-Direktor General Keith Alexander in Erklärungsnot (Bild: Saul Loeb/AFP/Getty Images)

NSA Geheimdienste lassen sich Sicherheitslücken liefern

Tausende US-Firmen tauschen angeblich Informationen über Schwachstellen in ihren Produkten gegen Geheimdienstwissen. Behörden können das für Angriffe nutzen.

Anzeige

US-Technologie-Unternehmen stellen der NSA nicht nur Nutzerdaten zur Verfügung, wie die Enthüllungen von Edward Snowden belegen. Sie melden den US-Geheimdiensten auch Sicherheitslücken ihrer Produkte, bevor sie diese Informationen veröffentlichen. Das berichtet die Nachrichtenagentur Bloomberg unter Berufung auf Informanten, die mit den Vorgängen vertraut sein sollen. Diesen Wissensvorsprung können die US-Behörden nutzen, um in Netzwerke und Computer einzudringen, bevor es ein Sicherheitsupdate durch den Anbieter gibt.

Zero-Day-Attacken heißen solche Angriffe, weil sie praktisch sofort nach der Entdeckung einer Sicherheitslücke stattfinden. Das Wissen um solche Sicherheitslücken ist zu einem begehrten Handelsgut geworden.

So hieß es in einem Reuters-Bericht vor einigen Wochen: "Viele talentierte Hacker, die früher zunächst ein Unternehmen wie Microsoft alarmierten, wenn sie in dessen Produkten eine Sicherheitslücke entdeckten, verkaufen diese Information mittlerweile an den Höchstbietenden - manchmal über Zwischenhändler, die den letztlichen Käufer niemals treffen. Militär und militärische Dienstleister geben zig Millionen Dollar im Jahr für solche Informationen aus." Und zwar nicht zur Abwehr, sondern zum Angriff auf fremde Computer. Im Extremfall für ausgefeilte Attacken wie mit Stuxnet.

50.000 US-Dollar oder mehr bringt der Verkauf einer Zero-Day-Schwachstelle, heißt es im Reuters-Bericht. Solche Summen zahlen nur Kriminelle und Regierungen. Das Nachsehen haben Unternehmen: Microsoft und Apple bezahlen gar nichts für solche Funde, weil sie niemanden zusätzlich motivieren wollen. Facebook, Mozilla, Google und andere haben sogenannte Bug-Bounty-Programme, in denen sie Belohnungen für entdeckte Sicherheitslücken ausloben. Google hat zum Beispiel gerade erst beschlossen, mehr als bisher zu zahlen. 50.000 Dollar für eine Lücke hat aber auch Google noch nie gezahlt.

Es sind nicht nur Hacker, die ihre Funde weitergeben. Laut Bloomberg werden die US-Behörden auch direkt von den Unternehmen beliefert, wenn deren eigene Sicherheitsspezialisten eine Schwachstelle entdecken. Im Tausch dafür bekommen die Unternehmen Zugang zu Geheimdienstinformationen, heißt es in dem Bericht. Und sie stellen sich auf diese Weise gut mit der Regierung, aus Überzeugung oder aus geschäftlichen Interessen.

Nur wenige Mitarbeiter hätten Einblick in diese Vorgänge, oft würden die Verhandlungen direkt zwischen den Vorständen und Spitzenvertretern der Behörden geführt.

Zu den sogenannten "vertrauenswürdigen Partnern" von NSA, CIA, FBI und militärischen Einheiten zählen unter anderem Hersteller von Hardware und Software, Banken, Antivirenspezialisten und Firmen aus dem Bereich der Satellitenkommunikation.

Mit PRISM hat dieser Vorgang nichts zu tun. Bei den Daten und Informationen, die diese Firmen übergeben, soll es sich nicht um private Nutzerdaten handeln. Vielmehr gehe es um Gerätespezifikationen oder Softwareschwachstellen. So würde etwa Microsoft seine Funde erst den Geheimdiensten melden, bevor es sich daran macht, Patches für seine Nutzer zu entwickeln.

Ein Microsoft-Sprecher sagte Bloomberg, man wolle der US-Regierung einen Vorsprung für die Risikoabschätzung und eigene Schutzmaßnahmen geben. Informanten jedoch, die für die Regierung oder eines der beteiligten Unternehmen arbeiteten, sagten Bloomberg, solche Informationen könnten auch für Angriffe genutzt werden.

Aus Sicherheitsforschern werden so zunehmend Unsicherheitsforscher. Es geht ihnen nicht mehr darum, Lücken zu finden, um sie schnell zu schließen, sondern damit sie ausgenutzt werden können.

Allerdings können auch Spezialisten aus anderen Ländern diese Schwachstellen entdecken und ihrerseits an Regierungen oder Kriminelle verkaufen oder sie selbst ausnutzen. Die Strategie, eine Lücke so lange offen zu halten, bis die eigene Seite sie ausnutzt, ist also riskant. Vor allem für die Endverbraucher.


Thaodan 17. Jun 2013

Er hat das letzte Wort was zu tun ist, allerdings nicht darüber was auch getan wird.

Thaodan 17. Jun 2013

Erst wenn der Staat fällt gelten sie offiziell so, oder meinst du Stasi und Gestapo...

posix 17. Jun 2013

https://ixquick.com/deu/ https://duckduckgo.com/ FirefoxOS Sailfish Ubuntu Phone OS...

posix 17. Jun 2013

Man kann auch gleich alles schwarz malen. Setzen 6 Die USA haben also die Macht jeden...

Eheran 15. Jun 2013

Heißen diese Sicherheitslücken nicht so, weil sie eben schon VOR veröffentlichung...

Kommentieren



Anzeige

  1. Business Consultant (m/w) SAP-Template Ersatzteile Wholesale
    Daimler AG, Stuttgart
  2. Methodenexperte (m/w) EAM
    Anovio AG, München, Ingolstadt, Erlangen
  3. IT-Bereichsleiter (m/w)
    über JobLeads GmbH, München
  4. IT-Security-Berater im Kundenbereich (m/w)
    TÜV Informationstechnik GmbH, Essen

Detailsuche


Spiele-Angebote
  1. Xbox-360-Spiele für je 6,99€
    (u. a. Halo 4, Fable Anniversary, Dance Central 3, Kinectimals mit Bären)
  2. GRATIS: The Witcher 2 für Xbox One
  3. AMAZON WAREHOUSEDEALS: Xbox One Konsole
    230,44€

Weitere Angebote


Folgen Sie uns
       


  1. Descent of the Shroud

    Grey Goo erhält kostenlose DLC-Kampagne

  2. Tuxedo Infinitybook

    Das voll konfigurierbare Linux-Macbook

  3. Flash-Speicher

    Micron spricht über 768-GBit-Chip

  4. Daybreak Game Company

    Zombiespiel H1Z1 wird aufgeteilt

  5. Twitter

    Neue Sortierung der Timeline kommt

  6. Error 53

    Unautorisierte Ersatzteile sperren iPhone

  7. Escape Dynamics

    Firma für mikrowellenbetriebene Raumschiffe ist bankrott

  8. Deutsche Bahn

    Wlan für alle ICE-Fahrgäste möglicherweise erst 2017

  9. Die Woche im Video

    Raider heißt jetzt Twix ...

  10. Alpenföhn

    Der Olymp soll 340 Watt an Leistung abführen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Asteroidenbergbau: Verblendet vom Platinrausch
Asteroidenbergbau
Verblendet vom Platinrausch
  1. Raumfahrt SpaceX und Orbital bauen Triebwerke für das US-Militär
  2. Dream Chaser Mini-Shuttle darf zur ISS fliegen
  3. Raumfahrt Raumsonde Dawn findet Wasser auf Zwergplaneten Ceres

Künstliche Intelligenz: Alpha Go spielt wie ein Japaner
Künstliche Intelligenz
Alpha Go spielt wie ein Japaner
  1. Nachruf KI-Pionier Marvin Minsky mit 88 Jahren gestorben
  2. CNTK Microsoft gibt Deep-Learning-Toolkit frei
  3. OpenAI Elon Musk unterstützt Forschung an gemeinnütziger KI

Tails 2.0 angeschaut: Die Linux-Distribution zum sicheren Surfen neu aufgelegt
Tails 2.0 angeschaut
Die Linux-Distribution zum sicheren Surfen neu aufgelegt

  1. Re: Anstatt Macbook kopieren lieber die osx...

    satriani | 18:31

  2. Komisch

    Smile | 18:30

  3. Re: TLC Speicher Risiken...

    sofries | 18:26

  4. Re: Warum Aluminium?

    sofries | 18:21

  5. Re: Zombiespiele? Spielezombies!

    hw75 | 18:19


  1. 15:00

  2. 12:00

  3. 11:25

  4. 14:45

  5. 13:25

  6. 12:43

  7. 11:52

  8. 11:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel