Abo
  • Services:
Anzeige
Der Heartbleed-Bug hätte auf dem Schwarzmarkt sicher hohe Summen erzielen können.
Der Heartbleed-Bug hätte auf dem Schwarzmarkt sicher hohe Summen erzielen können. (Bild: EFF)

BND-Kauf von Zero Days: CCC warnt vor "Mitmischen im Schwachstellen-Schwarzmarkt"

Der Heartbleed-Bug hätte auf dem Schwarzmarkt sicher hohe Summen erzielen können.
Der Heartbleed-Bug hätte auf dem Schwarzmarkt sicher hohe Summen erzielen können. (Bild: EFF)

"An Dreistigkeit kaum zu überbieten": Der Chaos Computer Club kritisiert die angeblichen Pläne des BND zum Ankauf von bislang unbekannten Sicherheitslücken. Das Geld ließe sich viel besser verwenden.

Der Chaos Computer Club warnt vor dem möglichen Ankauf von Zero-Day-Exploits durch den Bundesnachrichtendienst. Dadurch würde der Anreiz steigen, aufgespürte Sicherheitslücken im Geheimen zu handeln und gezielt vermeintlich harmlose Fehler in kritische Softwarekomponenten einzubauen, sagte der Sprecher des Chaos Computer Club (CCC), Dirk Engling, am Montag und fügte hinzu: "Wenn auch deutsche Geheimdienste diesen Schwarzmarkt mit unseren Steuergeldern noch anheizten, würde das erhebliche Folgekosten für die Wirtschaft haben, die schon heute kaum hinterherkommt, ihre technische Infrastruktur gegen Angriffe zu verteidigen."

Anzeige

Der Spiegel hatte am Wochenende berichtet, der Bundesnachrichtendienst (BND) habe bis 2020 rund 4,5 Millionen Euro eingeplant, um beispielsweise die gängige Transportverschlüsselung SSL zu knacken. Um SSL zu umgehen, will der BND Informationen über Software-Schwachstellen einkaufen, wie sie beispielsweise im April 2014 mit dem sogenannten Heartbleed-Bug bekanntgeworden waren.

Lücken könnten lange Zeit unentdeckt bleiben

Der CCC hält einen solchen Missbrauch kritischer Sicherheitslücken in mehrfacher Weise für gefährlich. So werde es Bürgern und Unternehmen erschwert, sich vor technischen Angriffen auf persönliche Daten oder Geschäftsgeheimnisse zu schützen. Zudem werde dritten Geheimdiensten das Ausspähen von Staats- und Betriebsgeheimnissen erleichtert. Angesichts der aktuellen Aufklärungsversuche durch den NSA-Untersuchungsausschuss seien die Forderungen des BND "an Dreistigkeit kaum zu überbieten".

Die "Logik des Mitmischens im Schwachstellen-Schwarzmarkt" führe dazu, dass Geheimdienste ein Interesse daran haben müssten, wenn eklatante Sicherheitslücken möglichst lange unentdeckt blieben, während sie gleichzeitig nicht sicherstellen könnten, dass dieselbe Sicherheitslücke nicht auch von Kriminellen entdeckt oder parallel an diese verkauft würde. So könnten Lücken für lange Zeit unbemerkt ausgenutzt werden.

Schädigung der deutschen Wirtschaft

Nach Ansicht des CCC wäre der Erwerb und Handel mit Sicherheitslücken durch den BND "nicht nur in mehrfacher Hinsicht rechtlich fragwürdig, sondern ist auch eine direkte und vorsätzliche Schädigung der deutschen Wirtschaft." Sicherheitslücken sollten nach der Entdeckung geschlossen und nicht geheim gehalten werden, solange es irgendwie geht.

Der CCC fordert daher ein Verbot des Aufkaufs und der Verwendung von Zero-Day-Exploits durch Geheimdienste und andere deutsche Behörden. Stattdessen sollten die eingesparten Mittel in die Förderung von Software-Audits investiert werden. Deutsche Behörden und Unternehmen sollten zudem verpflichtet werden, im Rahmen einer "responsible disclosure" alle ihr bekanntgewordenen kritischen Sicherheitslücken zu veröffentlichen.

NSA darf weiter Zero Days aufkaufen

Seit dem Beginn der NSA-Enthüllungen wird auch in den USA diskutiert, inwieweit die NSA sich am Kauf von Zero-Days beteiligen darf. So war spekuliert worden, dass dem US-Auslandsgeheimdienst auch die Heartbleed-Lücke bereits seit längerem bekannt war. Dies hatte der Dienst aber dementiert. Eine von US-Präsident Barack Obama eingesetzte Expertenkommission forderte im Dezember 2013, dass Zero-Day-Exploits nur noch für Ausspähaktionen in hochwichtigen Fällen genutzt werden sollten.

In anderen Fällen sollte dafür gesorgt werden, solche Schwachstellen schnell zu beheben. Obama selbst soll der NSA im Januar 2014 erlaubt haben, in bestimmten Fällen Sicherheitslücken nicht zu melden. Die Bürgerrechtsorganisationen Electronic Frontier Foundation (EFF) will die US-Geheimdienste inzwischen gerichtlich dazu zwingen, ihre Entscheidungsgrundlagen zur Veröffentlichung von Zero-Day-Exploits bekanntzugeben.

Nachtrag vom 10. November 2014, 14:50 Uhr

Die Bundesregierung bestätigte am Montag die Zusammenarbeit deutscher Behörden mit der französischen Software-Sicherheitsfirma Vupen. Ein Sprecher des Bundesinnenministeriums sagte am Montag in Berlin, die Erkenntnisse aus der Zusammenarbeit mit Vupen seien vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vor allem für den Schutz der Regierungsnetze und nicht zur Weitergabe an Dritte erworben worden. Die Zusammenarbeit mit der französischen Firma sei inzwischen beendet worden.

Regierungssprecher Steffen Seibert erklärte, Ziel der Bundesregierung sei es, die Abhängigkeit von ausländischen Dienstleistern im Bereich IT-Sicherheit weiter zu reduzieren. "Es trifft zu, dass der BND plant, seine vorhandene technische Basis zu stärken", sagte Seibert. Das zentrale Element dieser Initiative sei der Aufbau eines Frühwarnsystems für Cyberangriffe.

Nach Ansicht der Grünen sind die Pläne "mit rechtsstaatlichen Vorgaben nicht zu vereinbaren". Durch den Ankauf, das Offenhalten und die Nutzung von Sicherheitslücken würden die Vertraulichkeit und Integrität informationstechnischer Systeme offen infrage gestellt, sagte der netzpolitische Sprecher der Grünen-Fraktion im Bundestag, Konstantin von Notz. Dadurch werde die IT-Sicherheit nicht erhöht, sondern ausgehöhlt. Da Exploits immer auch durch Kriminelle genutzt würden, ergäben sich "eklatante Sicherheitsrisiken für Bürgerinnen und Bürger, aber auch die Wirtschaft".


eye home zur Startseite
tKahner 10. Nov 2014

@spYro: Ja, da stimme ich Dir im Wesentlichen zu! Aber ich wiederhole meine These, dass...

spYro 10. Nov 2014

Eine Verschlüsselung ist nur so gut, wie sie in Hard- und Software implementiert ist...

manitu 10. Nov 2014

Am besten stehen die lieben Black-Hats da. Wenn ich ein Exploit schreiben würde und das...

spambox 10. Nov 2014

Diese beiden Staatsorgane sind außer Kontrolle geratene, kriminelle Banden. Das ist keine...



Anzeige

Stellenmarkt
  1. Fachhochschule Südwestfalen, Hagen
  2. Schaeffler Technologies AG & Co. KG, Nürnberg
  3. Wilken Neutrasoft GmbH, Greven
  4. SBK Siemens-Betriebskrankenkasse, München


Anzeige
Top-Angebote
  1. (u. a. Galaxy S8 für 499€ und S8+ für 579€, S7 für 359€, 65"-UHD-TV für 1.199€ und 850...
  2. und mit Gutscheincode bis zu 40€ sparen

Folgen Sie uns
       


  1. Microsoft

    Windows on ARM ist inkompatibel zu 64-Bit-Programmen

  2. Fehler bei Zwei-Faktor-Authentifizierung

    Facebook will keine Benachrichtigungen per SMS schicken

  3. Europa-SPD

    Milliardenfonds zum Ausbau von Elektrotankstellen gefordert

  4. Carbon Copy Cloner

    APFS-Unterstützung wird wegen Datenverlustgefahr beschränkt

  5. Die Woche im Video

    Spezialeffekte und Spoiler

  6. Virtual RAN

    Telekom und Partner bauen Edge-Computing-Testnetz

  7. Basemental

    Mod erweitert Die Sims 4 um Drogen

  8. Verschlüsselung

    TLS 1.3 ist so gut wie fertig

  9. Colt Technology

    Mobilfunk ist Glasfaser mit Antennen

  10. Robotik

    Defekter Robonaut kommt zurück zur Erde



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Freier Media-Player: VLC 3.0 eint alle Plattformen
Freier Media-Player
VLC 3.0 eint alle Plattformen

Ryzen 5 2400G und Ryzen 3 2200G im Test: Raven Ridge rockt
Ryzen 5 2400G und Ryzen 3 2200G im Test
Raven Ridge rockt
  1. Krypto-Mining AMDs Threadripper schürft effizient Monero
  2. AMD Zen+ und Zen 2 sind gegen Spectre gehärtet
  3. Pinnacle Ridge Asus aktualisiert Mainboard für Ryzen 2000

Dorothee Bär: Netzbetreiber werden über 100 MBit/s angeblich kaum los
Dorothee Bär
Netzbetreiber werden über 100 MBit/s angeblich kaum los
  1. FTTH/B Glasfaser wird in Deutschland besser nachgefragt
  2. Koalitionsvertrag fertig "Glasfaser möglichst direkt bis zum Haus"
  3. Glasfaser Telekom weitet FTTH-Pilotprojekt auf vier Orte aus

  1. Re: Wieso emuliert man x86 auf ARM, warum...

    schnedan | 11:24

  2. Re: Wasserstoff wäre billiger

    Csot | 11:23

  3. Re: Emulation ist Käse, Android-Layer wäre wichtig

    Tuxgamer12 | 11:16

  4. Re: Falscher Ansatz: Es müssen neue Infrastruktur...

    Neutrinoseuche | 11:12

  5. Re: Wozu? Ich kann zur Arbeit laufen!

    Teebecher | 11:12


  1. 19:40

  2. 14:41

  3. 13:45

  4. 13:27

  5. 09:03

  6. 17:10

  7. 16:45

  8. 15:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel