Abo
  • Services:
Anzeige
Der Heartbleed-Bug hätte auf dem Schwarzmarkt sicher hohe Summen erzielen können.
Der Heartbleed-Bug hätte auf dem Schwarzmarkt sicher hohe Summen erzielen können. (Bild: EFF)

BND-Kauf von Zero Days: CCC warnt vor "Mitmischen im Schwachstellen-Schwarzmarkt"

Der Heartbleed-Bug hätte auf dem Schwarzmarkt sicher hohe Summen erzielen können.
Der Heartbleed-Bug hätte auf dem Schwarzmarkt sicher hohe Summen erzielen können. (Bild: EFF)

"An Dreistigkeit kaum zu überbieten": Der Chaos Computer Club kritisiert die angeblichen Pläne des BND zum Ankauf von bislang unbekannten Sicherheitslücken. Das Geld ließe sich viel besser verwenden.

Anzeige

Der Chaos Computer Club warnt vor dem möglichen Ankauf von Zero-Day-Exploits durch den Bundesnachrichtendienst. Dadurch würde der Anreiz steigen, aufgespürte Sicherheitslücken im Geheimen zu handeln und gezielt vermeintlich harmlose Fehler in kritische Softwarekomponenten einzubauen, sagte der Sprecher des Chaos Computer Club (CCC), Dirk Engling, am Montag und fügte hinzu: "Wenn auch deutsche Geheimdienste diesen Schwarzmarkt mit unseren Steuergeldern noch anheizten, würde das erhebliche Folgekosten für die Wirtschaft haben, die schon heute kaum hinterherkommt, ihre technische Infrastruktur gegen Angriffe zu verteidigen."

Der Spiegel hatte am Wochenende berichtet, der Bundesnachrichtendienst (BND) habe bis 2020 rund 4,5 Millionen Euro eingeplant, um beispielsweise die gängige Transportverschlüsselung SSL zu knacken. Um SSL zu umgehen, will der BND Informationen über Software-Schwachstellen einkaufen, wie sie beispielsweise im April 2014 mit dem sogenannten Heartbleed-Bug bekanntgeworden waren.

Lücken könnten lange Zeit unentdeckt bleiben

Der CCC hält einen solchen Missbrauch kritischer Sicherheitslücken in mehrfacher Weise für gefährlich. So werde es Bürgern und Unternehmen erschwert, sich vor technischen Angriffen auf persönliche Daten oder Geschäftsgeheimnisse zu schützen. Zudem werde dritten Geheimdiensten das Ausspähen von Staats- und Betriebsgeheimnissen erleichtert. Angesichts der aktuellen Aufklärungsversuche durch den NSA-Untersuchungsausschuss seien die Forderungen des BND "an Dreistigkeit kaum zu überbieten".

Die "Logik des Mitmischens im Schwachstellen-Schwarzmarkt" führe dazu, dass Geheimdienste ein Interesse daran haben müssten, wenn eklatante Sicherheitslücken möglichst lange unentdeckt blieben, während sie gleichzeitig nicht sicherstellen könnten, dass dieselbe Sicherheitslücke nicht auch von Kriminellen entdeckt oder parallel an diese verkauft würde. So könnten Lücken für lange Zeit unbemerkt ausgenutzt werden.

Schädigung der deutschen Wirtschaft

Nach Ansicht des CCC wäre der Erwerb und Handel mit Sicherheitslücken durch den BND "nicht nur in mehrfacher Hinsicht rechtlich fragwürdig, sondern ist auch eine direkte und vorsätzliche Schädigung der deutschen Wirtschaft." Sicherheitslücken sollten nach der Entdeckung geschlossen und nicht geheim gehalten werden, solange es irgendwie geht.

Der CCC fordert daher ein Verbot des Aufkaufs und der Verwendung von Zero-Day-Exploits durch Geheimdienste und andere deutsche Behörden. Stattdessen sollten die eingesparten Mittel in die Förderung von Software-Audits investiert werden. Deutsche Behörden und Unternehmen sollten zudem verpflichtet werden, im Rahmen einer "responsible disclosure" alle ihr bekanntgewordenen kritischen Sicherheitslücken zu veröffentlichen.

NSA darf weiter Zero Days aufkaufen

Seit dem Beginn der NSA-Enthüllungen wird auch in den USA diskutiert, inwieweit die NSA sich am Kauf von Zero-Days beteiligen darf. So war spekuliert worden, dass dem US-Auslandsgeheimdienst auch die Heartbleed-Lücke bereits seit längerem bekannt war. Dies hatte der Dienst aber dementiert. Eine von US-Präsident Barack Obama eingesetzte Expertenkommission forderte im Dezember 2013, dass Zero-Day-Exploits nur noch für Ausspähaktionen in hochwichtigen Fällen genutzt werden sollten.

In anderen Fällen sollte dafür gesorgt werden, solche Schwachstellen schnell zu beheben. Obama selbst soll der NSA im Januar 2014 erlaubt haben, in bestimmten Fällen Sicherheitslücken nicht zu melden. Die Bürgerrechtsorganisationen Electronic Frontier Foundation (EFF) will die US-Geheimdienste inzwischen gerichtlich dazu zwingen, ihre Entscheidungsgrundlagen zur Veröffentlichung von Zero-Day-Exploits bekanntzugeben.

Nachtrag vom 10. November 2014, 14:50 Uhr

Die Bundesregierung bestätigte am Montag die Zusammenarbeit deutscher Behörden mit der französischen Software-Sicherheitsfirma Vupen. Ein Sprecher des Bundesinnenministeriums sagte am Montag in Berlin, die Erkenntnisse aus der Zusammenarbeit mit Vupen seien vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vor allem für den Schutz der Regierungsnetze und nicht zur Weitergabe an Dritte erworben worden. Die Zusammenarbeit mit der französischen Firma sei inzwischen beendet worden.

Regierungssprecher Steffen Seibert erklärte, Ziel der Bundesregierung sei es, die Abhängigkeit von ausländischen Dienstleistern im Bereich IT-Sicherheit weiter zu reduzieren. "Es trifft zu, dass der BND plant, seine vorhandene technische Basis zu stärken", sagte Seibert. Das zentrale Element dieser Initiative sei der Aufbau eines Frühwarnsystems für Cyberangriffe.

Nach Ansicht der Grünen sind die Pläne "mit rechtsstaatlichen Vorgaben nicht zu vereinbaren". Durch den Ankauf, das Offenhalten und die Nutzung von Sicherheitslücken würden die Vertraulichkeit und Integrität informationstechnischer Systeme offen infrage gestellt, sagte der netzpolitische Sprecher der Grünen-Fraktion im Bundestag, Konstantin von Notz. Dadurch werde die IT-Sicherheit nicht erhöht, sondern ausgehöhlt. Da Exploits immer auch durch Kriminelle genutzt würden, ergäben sich "eklatante Sicherheitsrisiken für Bürgerinnen und Bürger, aber auch die Wirtschaft".


eye home zur Startseite
tKahner 10. Nov 2014

@spYro: Ja, da stimme ich Dir im Wesentlichen zu! Aber ich wiederhole meine These, dass...

spYro 10. Nov 2014

Eine Verschlüsselung ist nur so gut, wie sie in Hard- und Software implementiert ist...

manitu 10. Nov 2014

Am besten stehen die lieben Black-Hats da. Wenn ich ein Exploit schreiben würde und das...

spambox 10. Nov 2014

Diese beiden Staatsorgane sind außer Kontrolle geratene, kriminelle Banden. Das ist keine...



Anzeige

Stellenmarkt
  1. C3 Creative Code and Content GmbH, Essen
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. IT-Dienstleistungszentrum Berlin, Berlin
  4. Pilz GmbH & Co. KG, Ostfildern


Anzeige
Hardware-Angebote
  1. 56,08€ (Vergleichspreis ab ca. 65€)
  2. 269,90€ + 3,99€ Versand (Vergleichspreis 297€)

Folgen Sie uns
       


  1. Bundestagswahl 2017

    Viagra, Datenbankpasswörter und uralte Sicherheitslücken

  2. Auto

    Tesla will eigene Hardware für seine autonom fahrenden Autos

  3. Pipewire

    Fedora bekommt neues Multimedia-Framework

  4. Security

    Nest stellt komplette Alarmanlage vor

  5. Creators Update

    "Das zuverlässigste und sicherste Windows seit jeher"

  6. Apple iOS 11

    Wer WLAN und Bluetooth abschaltet, benutzt es weiter

  7. Minecraft

    Eine Server-Farm für (fast) alle Klötzchenbauer

  8. Kabelnetz

    Unitymedia bringt neue Connect App, Booster und Sprachsuche

  9. PowerVR 9XE/9XM und PowerVR 2NX

    Imagination Technologies bringt eigenen AI-Beschleuniger

  10. Auslastung

    Wenn es Abend wird im Kabelnetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Zukunft des Autos: "Unsere Elektrofahrzeuge sollen typische Porsche sein"
Zukunft des Autos
"Unsere Elektrofahrzeuge sollen typische Porsche sein"
  1. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  2. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor
  3. ID Crozz VW stellt elektrisches Crossover vor

Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Open Source Projekt Oracle will Java EE abgeben

Kein App Store mehr: iOS-Nutzer sollten das neue iTunes nicht installieren
Kein App Store mehr
iOS-Nutzer sollten das neue iTunes nicht installieren
  1. Betriebssystem Apple veröffentlicht Goldmaster für iOS, tvOS und WatchOS
  2. iPhone iOS 11 bekommt Schutz gegen unerwünschte Memory-Dumps
  3. IOS 11 Epic Games rettet Infinity Blade ins 64-Bit-Zeitalter

  1. Re: Macht bei mir sogar Sinn

    Its_Me | 12:24

  2. Re: Sputnik & Co

    AngryFrog | 12:23

  3. Re: Speedtest Geschummel - Nicht repräsentativ

    Seismoid | 12:22

  4. Re: Offline?

    AngryFrog | 12:22

  5. Re: Und darum brauchen wir eine echte...

    gadthrawn | 12:21


  1. 12:05

  2. 12:02

  3. 11:58

  4. 11:36

  5. 11:21

  6. 11:06

  7. 10:03

  8. 10:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel