NSA: Geheimdienste lassen sich Sicherheitslücken liefern
NSA-Direktor General Keith Alexander in Erklärungsnot (Bild: Saul Loeb/AFP/Getty Images)

NSA Geheimdienste lassen sich Sicherheitslücken liefern

Tausende US-Firmen tauschen angeblich Informationen über Schwachstellen in ihren Produkten gegen Geheimdienstwissen. Behörden können das für Angriffe nutzen.

Anzeige

US-Technologie-Unternehmen stellen der NSA nicht nur Nutzerdaten zur Verfügung, wie die Enthüllungen von Edward Snowden belegen. Sie melden den US-Geheimdiensten auch Sicherheitslücken ihrer Produkte, bevor sie diese Informationen veröffentlichen. Das berichtet die Nachrichtenagentur Bloomberg unter Berufung auf Informanten, die mit den Vorgängen vertraut sein sollen. Diesen Wissensvorsprung können die US-Behörden nutzen, um in Netzwerke und Computer einzudringen, bevor es ein Sicherheitsupdate durch den Anbieter gibt.

Zero-Day-Attacken heißen solche Angriffe, weil sie praktisch sofort nach der Entdeckung einer Sicherheitslücke stattfinden. Das Wissen um solche Sicherheitslücken ist zu einem begehrten Handelsgut geworden.

So hieß es in einem Reuters-Bericht vor einigen Wochen: "Viele talentierte Hacker, die früher zunächst ein Unternehmen wie Microsoft alarmierten, wenn sie in dessen Produkten eine Sicherheitslücke entdeckten, verkaufen diese Information mittlerweile an den Höchstbietenden - manchmal über Zwischenhändler, die den letztlichen Käufer niemals treffen. Militär und militärische Dienstleister geben zig Millionen Dollar im Jahr für solche Informationen aus." Und zwar nicht zur Abwehr, sondern zum Angriff auf fremde Computer. Im Extremfall für ausgefeilte Attacken wie mit Stuxnet.

50.000 US-Dollar oder mehr bringt der Verkauf einer Zero-Day-Schwachstelle, heißt es im Reuters-Bericht. Solche Summen zahlen nur Kriminelle und Regierungen. Das Nachsehen haben Unternehmen: Microsoft und Apple bezahlen gar nichts für solche Funde, weil sie niemanden zusätzlich motivieren wollen. Facebook, Mozilla, Google und andere haben sogenannte Bug-Bounty-Programme, in denen sie Belohnungen für entdeckte Sicherheitslücken ausloben. Google hat zum Beispiel gerade erst beschlossen, mehr als bisher zu zahlen. 50.000 Dollar für eine Lücke hat aber auch Google noch nie gezahlt.

Es sind nicht nur Hacker, die ihre Funde weitergeben. Laut Bloomberg werden die US-Behörden auch direkt von den Unternehmen beliefert, wenn deren eigene Sicherheitsspezialisten eine Schwachstelle entdecken. Im Tausch dafür bekommen die Unternehmen Zugang zu Geheimdienstinformationen, heißt es in dem Bericht. Und sie stellen sich auf diese Weise gut mit der Regierung, aus Überzeugung oder aus geschäftlichen Interessen.

Nur wenige Mitarbeiter hätten Einblick in diese Vorgänge, oft würden die Verhandlungen direkt zwischen den Vorständen und Spitzenvertretern der Behörden geführt.

Zu den sogenannten "vertrauenswürdigen Partnern" von NSA, CIA, FBI und militärischen Einheiten zählen unter anderem Hersteller von Hardware und Software, Banken, Antivirenspezialisten und Firmen aus dem Bereich der Satellitenkommunikation.

Mit PRISM hat dieser Vorgang nichts zu tun. Bei den Daten und Informationen, die diese Firmen übergeben, soll es sich nicht um private Nutzerdaten handeln. Vielmehr gehe es um Gerätespezifikationen oder Softwareschwachstellen. So würde etwa Microsoft seine Funde erst den Geheimdiensten melden, bevor es sich daran macht, Patches für seine Nutzer zu entwickeln.

Ein Microsoft-Sprecher sagte Bloomberg, man wolle der US-Regierung einen Vorsprung für die Risikoabschätzung und eigene Schutzmaßnahmen geben. Informanten jedoch, die für die Regierung oder eines der beteiligten Unternehmen arbeiteten, sagten Bloomberg, solche Informationen könnten auch für Angriffe genutzt werden.

Aus Sicherheitsforschern werden so zunehmend Unsicherheitsforscher. Es geht ihnen nicht mehr darum, Lücken zu finden, um sie schnell zu schließen, sondern damit sie ausgenutzt werden können.

Allerdings können auch Spezialisten aus anderen Ländern diese Schwachstellen entdecken und ihrerseits an Regierungen oder Kriminelle verkaufen oder sie selbst ausnutzen. Die Strategie, eine Lücke so lange offen zu halten, bis die eigene Seite sie ausnutzt, ist also riskant. Vor allem für die Endverbraucher.


Thaodan 17. Jun 2013

Er hat das letzte Wort was zu tun ist, allerdings nicht darüber was auch getan wird.

Thaodan 17. Jun 2013

Erst wenn der Staat fällt gelten sie offiziell so, oder meinst du Stasi und Gestapo...

posix 17. Jun 2013

https://ixquick.com/deu/ https://duckduckgo.com/ FirefoxOS Sailfish Ubuntu Phone OS...

posix 17. Jun 2013

Man kann auch gleich alles schwarz malen. Setzen 6 Die USA haben also die Macht jeden...

Eheran 15. Jun 2013

Heißen diese Sicherheitslücken nicht so, weil sie eben schon VOR veröffentlichung...

Kommentieren



Anzeige

  1. Projektleiter Software Standardisierung (m/w) Schwerpunkt Fördertechnik
    Dürr Systems GmbH, Bietigheim-Bissingen
  2. Software-Entwickler/in für IT-Lösungen im Bereich Vernetztes Fahrzeug / Telematiksysteme
    ESG Elektroniksystem- und Logistik-GmbH, München
  3. Produktmanager für digitales Entertainment / Product Owner (m/w)
    Media-Saturn Deutschland GmbH, Ingolstadt
  4. Manager (m/w) Softwareentwicklung
    WTS Group AG Steuerberatungsgesellschaft, Erlangen (Raum Nürnberg)

 

Detailsuche


Folgen Sie uns
       


  1. Rolling-Release

    Opensuse Factory und Tumbleweed werden zusammengeführt

  2. Project Ara

    Google will nicht nur das Smartphone neu erfinden

  3. Wildstar

    NC Soft entlässt Mitarbeiter

  4. Mozilla

    Einfache Web-Apps auf dem Smartphone erstellen

  5. Civ Beyond Earth Benchmark

    Schneller, ohne Mikroruckler und geringere Latenz mit Mantle

  6. Allview X2 Soul mini

    Sehr dünnes Smartphone im Alu-Gehäuse für 200 Euro

  7. Toybox Turbos

    Codemasters veranstaltet Rennen auf dem Frühstückstisch

  8. Xamarin

    C# dank Mono für die Unreal Engine 4

  9. Tor-Router

    Invizbox will besser sein als die Anonabox

  10. Moore's Law

    Totgesagte schrumpfen länger



Haben wir etwas übersehen?

E-Mail an news@golem.de



Schenker XMG P505 im Test: Flaches Gaming-Notebook mit überraschender GTX 970M
Schenker XMG P505 im Test
Flaches Gaming-Notebook mit überraschender GTX 970M
  1. Getac S400-S3 Das Ruggedized-Notebook mit SSD-Heizung
  2. Geforce GTX 980M und 970M Maxwell verdoppelt Spielgeschwindigkeit von Notebooks
  3. Toughbook CF-LX3 Panasonics leichtes Notebook mit der Lizenz zum Runterfallen

Legale Streaming-Anbieter im Test: Netflix allein macht auch nicht glücklich
Legale Streaming-Anbieter im Test
Netflix allein macht auch nicht glücklich
  1. Netflix-Statistik Die Schweiz streamt am schnellsten
  2. Deutsche Telekom Entertain ab dem 14. Oktober mit Netflix
  3. HTML5-Videostreaming Netflix bietet volle Linux-Unterstützung

Windows 10 Technical Preview ausprobiert: Die Sonne scheint aufs Startmenü
Windows 10 Technical Preview ausprobiert
Die Sonne scheint aufs Startmenü
  1. Build 9860 Windows 10 jetzt mit Info-Center für Benachrichtigungen
  2. Microsoft Neue Fensteranimationen für Windows 10
  3. Windows 10 Microsoft will nicht an das unbeliebte Windows 8 erinnern

    •  / 
    Zum Artikel