NSA-Direktor General Keith Alexander in Erklärungsnot
NSA-Direktor General Keith Alexander in Erklärungsnot (Bild: Saul Loeb/AFP/Getty Images)

NSA Geheimdienste lassen sich Sicherheitslücken liefern

Tausende US-Firmen tauschen angeblich Informationen über Schwachstellen in ihren Produkten gegen Geheimdienstwissen. Behörden können das für Angriffe nutzen.

Anzeige

US-Technologie-Unternehmen stellen der NSA nicht nur Nutzerdaten zur Verfügung, wie die Enthüllungen von Edward Snowden belegen. Sie melden den US-Geheimdiensten auch Sicherheitslücken ihrer Produkte, bevor sie diese Informationen veröffentlichen. Das berichtet die Nachrichtenagentur Bloomberg unter Berufung auf Informanten, die mit den Vorgängen vertraut sein sollen. Diesen Wissensvorsprung können die US-Behörden nutzen, um in Netzwerke und Computer einzudringen, bevor es ein Sicherheitsupdate durch den Anbieter gibt.

Zero-Day-Attacken heißen solche Angriffe, weil sie praktisch sofort nach der Entdeckung einer Sicherheitslücke stattfinden. Das Wissen um solche Sicherheitslücken ist zu einem begehrten Handelsgut geworden.

So hieß es in einem Reuters-Bericht vor einigen Wochen: "Viele talentierte Hacker, die früher zunächst ein Unternehmen wie Microsoft alarmierten, wenn sie in dessen Produkten eine Sicherheitslücke entdeckten, verkaufen diese Information mittlerweile an den Höchstbietenden - manchmal über Zwischenhändler, die den letztlichen Käufer niemals treffen. Militär und militärische Dienstleister geben zig Millionen Dollar im Jahr für solche Informationen aus." Und zwar nicht zur Abwehr, sondern zum Angriff auf fremde Computer. Im Extremfall für ausgefeilte Attacken wie mit Stuxnet.

50.000 US-Dollar oder mehr bringt der Verkauf einer Zero-Day-Schwachstelle, heißt es im Reuters-Bericht. Solche Summen zahlen nur Kriminelle und Regierungen. Das Nachsehen haben Unternehmen: Microsoft und Apple bezahlen gar nichts für solche Funde, weil sie niemanden zusätzlich motivieren wollen. Facebook, Mozilla, Google und andere haben sogenannte Bug-Bounty-Programme, in denen sie Belohnungen für entdeckte Sicherheitslücken ausloben. Google hat zum Beispiel gerade erst beschlossen, mehr als bisher zu zahlen. 50.000 Dollar für eine Lücke hat aber auch Google noch nie gezahlt.

Es sind nicht nur Hacker, die ihre Funde weitergeben. Laut Bloomberg werden die US-Behörden auch direkt von den Unternehmen beliefert, wenn deren eigene Sicherheitsspezialisten eine Schwachstelle entdecken. Im Tausch dafür bekommen die Unternehmen Zugang zu Geheimdienstinformationen, heißt es in dem Bericht. Und sie stellen sich auf diese Weise gut mit der Regierung, aus Überzeugung oder aus geschäftlichen Interessen.

Nur wenige Mitarbeiter hätten Einblick in diese Vorgänge, oft würden die Verhandlungen direkt zwischen den Vorständen und Spitzenvertretern der Behörden geführt.

Zu den sogenannten "vertrauenswürdigen Partnern" von NSA, CIA, FBI und militärischen Einheiten zählen unter anderem Hersteller von Hardware und Software, Banken, Antivirenspezialisten und Firmen aus dem Bereich der Satellitenkommunikation.

Mit PRISM hat dieser Vorgang nichts zu tun. Bei den Daten und Informationen, die diese Firmen übergeben, soll es sich nicht um private Nutzerdaten handeln. Vielmehr gehe es um Gerätespezifikationen oder Softwareschwachstellen. So würde etwa Microsoft seine Funde erst den Geheimdiensten melden, bevor es sich daran macht, Patches für seine Nutzer zu entwickeln.

Ein Microsoft-Sprecher sagte Bloomberg, man wolle der US-Regierung einen Vorsprung für die Risikoabschätzung und eigene Schutzmaßnahmen geben. Informanten jedoch, die für die Regierung oder eines der beteiligten Unternehmen arbeiteten, sagten Bloomberg, solche Informationen könnten auch für Angriffe genutzt werden.

Aus Sicherheitsforschern werden so zunehmend Unsicherheitsforscher. Es geht ihnen nicht mehr darum, Lücken zu finden, um sie schnell zu schließen, sondern damit sie ausgenutzt werden können.

Allerdings können auch Spezialisten aus anderen Ländern diese Schwachstellen entdecken und ihrerseits an Regierungen oder Kriminelle verkaufen oder sie selbst ausnutzen. Die Strategie, eine Lücke so lange offen zu halten, bis die eigene Seite sie ausnutzt, ist also riskant. Vor allem für die Endverbraucher.


Thaodan 17. Jun 2013

Er hat das letzte Wort was zu tun ist, allerdings nicht darüber was auch getan wird.

Thaodan 17. Jun 2013

Erst wenn der Staat fällt gelten sie offiziell so, oder meinst du Stasi und Gestapo...

posix 17. Jun 2013

https://ixquick.com/deu/ https://duckduckgo.com/ FirefoxOS Sailfish Ubuntu Phone OS...

posix 17. Jun 2013

Man kann auch gleich alles schwarz malen. Setzen 6 Die USA haben also die Macht jeden...

Eheran 15. Jun 2013

Heißen diese Sicherheitslücken nicht so, weil sie eben schon VOR veröffentlichung...

Kommentieren



Anzeige

  1. Prozessmanager E-Commerce / Data Analyst (m/w)
    Home Shopping Europe GmbH, Ismaning Raum München
  2. Software-Anforderungsmanager- /-in
    Dataport, Hamburg
  3. Module Architect System (m/w)
    Da Vinci Engineering GmbH, Stuttgart
  4. Data Scientist (m/w)
    Fraunhofer-Institut für Intelligente Analyse- und Informationssysteme IAIS, St. Augustin

 

Detailsuche


Blu-ray-Angebote
  1. NEU: Game of Thrones: Die komplette dritte Staffel [Blu-ray]
    23,97€
  2. Rubbeldiekatz [Blu-ray] [Limited Collector's Edition]
    7,97€
  3. GÜNSTIGER: Breaking Bad - Die komplette Serie (Digipack) [Blu-ray]
    74,97€

 

Weitere Angebote


Folgen Sie uns
       


  1. Elektromobilität

    Elektroautos sind etwas fürs Land

  2. TV-Kabelnetz

    Primacom will auf 500 MBit/s beschleunigen

  3. Linux-Distribution

    Fedora 22 ist ein Release für Admins

  4. Warlords of Draenor

    Flugverbot in neuen WoW-Gebieten

  5. Unitymedia-Konzern

    Liberty kauft Time Warner Cable für 55 Milliarden US-Dollar

  6. The Elder Scrolls Online

    Zenimax sperrt mutmaßlich illegale Nutzerkonten

  7. Sony

    Xperia Z4 erscheint in Deutschland als Xperia Z3+

  8. LTE Advanced Cat 6

    Vodafone bietet 225 MBit/s im LTE-Netz

  9. Google

    Chrome für Android ist nahezu Open Source

  10. Firefox OS

    Für Mozilla ist billig nicht mehr alles



Haben wir etwas übersehen?

E-Mail an news@golem.de



The Witcher 3 im Grafiktest: Mehr Bonbon am PC
The Witcher 3 im Grafiktest
Mehr Bonbon am PC
  1. CD Projekt Red The Witcher 3 hat Speicherproblem auf Xbox One
  2. Sabotagevorwurf Witcher-3-Streit zwischen AMD und Nvidia
  3. The Witcher 3 im Test Wunderschönes Wohlfühlabenteuer

FBI-Untersuchung: Hacker soll Zugriff auf Flugzeugtriebwerke gehabt haben
FBI-Untersuchung
Hacker soll Zugriff auf Flugzeugtriebwerke gehabt haben
  1. Hack auf Datingplattform Sexuelle Vorlieben von Millionen Menschen veröffentlicht
  2. Identitätsdiebstahl Gesetz zu Datenhehlerei könnte Leaking-Plattformen gefährden
  3. NetUSB Schwachstelle gefährdet zahlreiche Routermodelle

Windows 10 IoT Core angetestet: Windows auf dem Raspberry Pi 2
Windows 10 IoT Core angetestet
Windows auf dem Raspberry Pi 2
  1. Kleinstrechner Preise für das Raspberry Pi B+ gesenkt
  2. Artik Samsung stellt Bastelcomputer-Serie vor
  3. Hummingboard angetestet Heiß und anschlussfreudig

  1. Re: ich würde sofort

    kylecorver | 07:43

  2. Re: Erst in zukunft? ? Aha...

    Mabenan | 07:39

  3. Re: Wird sich nicht durchsetzen

    Workoft | 07:33

  4. Re: 500 MBit/s bringen nur was mit anständigem...

    RobertZingelmann | 07:14

  5. Re: Abschaffung Bargeld

    M. | 07:11


  1. 20:29

  2. 20:22

  3. 17:21

  4. 16:26

  5. 16:20

  6. 15:22

  7. 13:57

  8. 13:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel