NSA-Direktor General Keith Alexander in Erklärungsnot
NSA-Direktor General Keith Alexander in Erklärungsnot (Bild: Saul Loeb/AFP/Getty Images)

NSA Geheimdienste lassen sich Sicherheitslücken liefern

Tausende US-Firmen tauschen angeblich Informationen über Schwachstellen in ihren Produkten gegen Geheimdienstwissen. Behörden können das für Angriffe nutzen.

Anzeige

US-Technologie-Unternehmen stellen der NSA nicht nur Nutzerdaten zur Verfügung, wie die Enthüllungen von Edward Snowden belegen. Sie melden den US-Geheimdiensten auch Sicherheitslücken ihrer Produkte, bevor sie diese Informationen veröffentlichen. Das berichtet die Nachrichtenagentur Bloomberg unter Berufung auf Informanten, die mit den Vorgängen vertraut sein sollen. Diesen Wissensvorsprung können die US-Behörden nutzen, um in Netzwerke und Computer einzudringen, bevor es ein Sicherheitsupdate durch den Anbieter gibt.

Zero-Day-Attacken heißen solche Angriffe, weil sie praktisch sofort nach der Entdeckung einer Sicherheitslücke stattfinden. Das Wissen um solche Sicherheitslücken ist zu einem begehrten Handelsgut geworden.

So hieß es in einem Reuters-Bericht vor einigen Wochen: "Viele talentierte Hacker, die früher zunächst ein Unternehmen wie Microsoft alarmierten, wenn sie in dessen Produkten eine Sicherheitslücke entdeckten, verkaufen diese Information mittlerweile an den Höchstbietenden - manchmal über Zwischenhändler, die den letztlichen Käufer niemals treffen. Militär und militärische Dienstleister geben zig Millionen Dollar im Jahr für solche Informationen aus." Und zwar nicht zur Abwehr, sondern zum Angriff auf fremde Computer. Im Extremfall für ausgefeilte Attacken wie mit Stuxnet.

50.000 US-Dollar oder mehr bringt der Verkauf einer Zero-Day-Schwachstelle, heißt es im Reuters-Bericht. Solche Summen zahlen nur Kriminelle und Regierungen. Das Nachsehen haben Unternehmen: Microsoft und Apple bezahlen gar nichts für solche Funde, weil sie niemanden zusätzlich motivieren wollen. Facebook, Mozilla, Google und andere haben sogenannte Bug-Bounty-Programme, in denen sie Belohnungen für entdeckte Sicherheitslücken ausloben. Google hat zum Beispiel gerade erst beschlossen, mehr als bisher zu zahlen. 50.000 Dollar für eine Lücke hat aber auch Google noch nie gezahlt.

Es sind nicht nur Hacker, die ihre Funde weitergeben. Laut Bloomberg werden die US-Behörden auch direkt von den Unternehmen beliefert, wenn deren eigene Sicherheitsspezialisten eine Schwachstelle entdecken. Im Tausch dafür bekommen die Unternehmen Zugang zu Geheimdienstinformationen, heißt es in dem Bericht. Und sie stellen sich auf diese Weise gut mit der Regierung, aus Überzeugung oder aus geschäftlichen Interessen.

Nur wenige Mitarbeiter hätten Einblick in diese Vorgänge, oft würden die Verhandlungen direkt zwischen den Vorständen und Spitzenvertretern der Behörden geführt.

Zu den sogenannten "vertrauenswürdigen Partnern" von NSA, CIA, FBI und militärischen Einheiten zählen unter anderem Hersteller von Hardware und Software, Banken, Antivirenspezialisten und Firmen aus dem Bereich der Satellitenkommunikation.

Mit PRISM hat dieser Vorgang nichts zu tun. Bei den Daten und Informationen, die diese Firmen übergeben, soll es sich nicht um private Nutzerdaten handeln. Vielmehr gehe es um Gerätespezifikationen oder Softwareschwachstellen. So würde etwa Microsoft seine Funde erst den Geheimdiensten melden, bevor es sich daran macht, Patches für seine Nutzer zu entwickeln.

Ein Microsoft-Sprecher sagte Bloomberg, man wolle der US-Regierung einen Vorsprung für die Risikoabschätzung und eigene Schutzmaßnahmen geben. Informanten jedoch, die für die Regierung oder eines der beteiligten Unternehmen arbeiteten, sagten Bloomberg, solche Informationen könnten auch für Angriffe genutzt werden.

Aus Sicherheitsforschern werden so zunehmend Unsicherheitsforscher. Es geht ihnen nicht mehr darum, Lücken zu finden, um sie schnell zu schließen, sondern damit sie ausgenutzt werden können.

Allerdings können auch Spezialisten aus anderen Ländern diese Schwachstellen entdecken und ihrerseits an Regierungen oder Kriminelle verkaufen oder sie selbst ausnutzen. Die Strategie, eine Lücke so lange offen zu halten, bis die eigene Seite sie ausnutzt, ist also riskant. Vor allem für die Endverbraucher.


Thaodan 17. Jun 2013

Er hat das letzte Wort was zu tun ist, allerdings nicht darüber was auch getan wird.

Thaodan 17. Jun 2013

Erst wenn der Staat fällt gelten sie offiziell so, oder meinst du Stasi und Gestapo...

posix 17. Jun 2013

https://ixquick.com/deu/ https://duckduckgo.com/ FirefoxOS Sailfish Ubuntu Phone OS...

posix 17. Jun 2013

Man kann auch gleich alles schwarz malen. Setzen 6 Die USA haben also die Macht jeden...

Eheran 15. Jun 2013

Heißen diese Sicherheitslücken nicht so, weil sie eben schon VOR veröffentlichung...

Kommentieren



Anzeige

  1. IT Solution Architect (m/w)
    evosoft GmbH, Nürnberg
  2. Security Architect (m/w)
    Microsoft Deutschland GmbH, verschiedene Standorte
  3. Senior Consultant / Technical Architect (m/w) für Adobe Experience Manager (CQ / AEM)
    über Randstad Deutschland GmbH, Bonn
  4. Consultant - Rollout eines CMS (m/w)
    Daimler AG, Stuttgart

 

Detailsuche


Hardware-Angebote
  1. TIPP: Kingston HyperX Cloud Headset
    84,90€
  2. TOPSELLER BEI ALTERNATE: G.Skill DIMM 8 GB DDR3-1600 Kit
    59,90€
  3. TIPP: Alternate Schnäppchen Outlet

 

Weitere Angebote


Folgen Sie uns
       


  1. Keine Science-Fiction

    Mit dem Laser gegen Weltraumschrott

  2. Die Woche im Video

    Ein Zombie, Insekten und Lollipop

  3. Star Wars Battlefront

    Planetenkampf vor dem Erwachen der Macht

  4. Geodaten

    200 Beschäftigte verpixelten Google-Street-View-Häuser

  5. Windkraftwerke

    Kletterroboter überprüft Windräder

  6. Inside Abbey Road

    Mit Google durch das berühmteste Musikstudio der Welt

  7. ÖBB

    WLAN im Spaceshuttle einfacher zu machen als im Zug

  8. Google

    Chrome unterstützt Windows XP bis Ende 2015

  9. Kernel

    GNU Hurd 0.6 erschienen

  10. Highway Star

    Wikos Alu-Smartphone kostet 370 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de



Raspberry Pi im Garteneinsatz: Wasser marsch!
Raspberry Pi im Garteneinsatz
Wasser marsch!
  1. Onion Omega Preiswertes Bastelboard für OpenWrt
  2. GCHQ Bastelnde Spione bauen Raspberry-Pi-Cluster
  3. MIPS Creator CI20 angetestet Die Platine zum Pausemachen

Axiom Verge im Test: 16 Bit für Genießer
Axiom Verge im Test
16 Bit für Genießer
  1. Alienation angespielt Zerstörungsorgie von den Resogun-Machern
  2. Test Mushroom Men Der Knobelpilz und die dicke Prinzessin
  3. The Witness Ex-Indie-Millionär nimmt Kredit für nächstes Projekt auf

Fuzzing: Wie man Heartbleed hätte finden können
Fuzzing
Wie man Heartbleed hätte finden können
  1. Fehlersuche LLVM integriert eigenes Fuzzing-Werkzeug
  2. Mozilla Firefox 37 bringt Zertifikatsperren und Nutzerfeedback
  3. IT-Sicherheit Regierung fördert Forschung mit 180 Millionen Euro

  1. Re: Wo liegt das Problem?

    Nightdive | 13:26

  2. Re: Wer benutzt überhaupt Fedora?

    Tzven | 13:26

  3. Re: IPTV wieder nach DVB-C wandeln

    blau34 | 13:24

  4. Re: soso

    laserbeamer | 13:23

  5. Re: Typisch Deutschland...

    Sukram71 | 13:21


  1. 13:28

  2. 09:01

  3. 20:53

  4. 19:22

  5. 18:52

  6. 16:49

  7. 16:35

  8. 15:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel