Abo
  • Services:

BND-Kauf von Zero Days: CCC warnt vor "Mitmischen im Schwachstellen-Schwarzmarkt"

"An Dreistigkeit kaum zu überbieten": Der Chaos Computer Club kritisiert die angeblichen Pläne des BND zum Ankauf von bislang unbekannten Sicherheitslücken. Das Geld ließe sich viel besser verwenden.

Artikel veröffentlicht am ,
Der Heartbleed-Bug hätte auf dem Schwarzmarkt sicher hohe Summen erzielen können.
Der Heartbleed-Bug hätte auf dem Schwarzmarkt sicher hohe Summen erzielen können. (Bild: EFF)

Der Chaos Computer Club warnt vor dem möglichen Ankauf von Zero-Day-Exploits durch den Bundesnachrichtendienst. Dadurch würde der Anreiz steigen, aufgespürte Sicherheitslücken im Geheimen zu handeln und gezielt vermeintlich harmlose Fehler in kritische Softwarekomponenten einzubauen, sagte der Sprecher des Chaos Computer Club (CCC), Dirk Engling, am Montag und fügte hinzu: "Wenn auch deutsche Geheimdienste diesen Schwarzmarkt mit unseren Steuergeldern noch anheizten, würde das erhebliche Folgekosten für die Wirtschaft haben, die schon heute kaum hinterherkommt, ihre technische Infrastruktur gegen Angriffe zu verteidigen."

Stellenmarkt
  1. Munich International School, Starnberg Raum München
  2. cbs Corporate Business Solutions Unternehmensberatung GmbH, Heidelberg, Dortmund, München, Hamburg

Der Spiegel hatte am Wochenende berichtet, der Bundesnachrichtendienst (BND) habe bis 2020 rund 4,5 Millionen Euro eingeplant, um beispielsweise die gängige Transportverschlüsselung SSL zu knacken. Um SSL zu umgehen, will der BND Informationen über Software-Schwachstellen einkaufen, wie sie beispielsweise im April 2014 mit dem sogenannten Heartbleed-Bug bekanntgeworden waren.

Lücken könnten lange Zeit unentdeckt bleiben

Der CCC hält einen solchen Missbrauch kritischer Sicherheitslücken in mehrfacher Weise für gefährlich. So werde es Bürgern und Unternehmen erschwert, sich vor technischen Angriffen auf persönliche Daten oder Geschäftsgeheimnisse zu schützen. Zudem werde dritten Geheimdiensten das Ausspähen von Staats- und Betriebsgeheimnissen erleichtert. Angesichts der aktuellen Aufklärungsversuche durch den NSA-Untersuchungsausschuss seien die Forderungen des BND "an Dreistigkeit kaum zu überbieten".

Die "Logik des Mitmischens im Schwachstellen-Schwarzmarkt" führe dazu, dass Geheimdienste ein Interesse daran haben müssten, wenn eklatante Sicherheitslücken möglichst lange unentdeckt blieben, während sie gleichzeitig nicht sicherstellen könnten, dass dieselbe Sicherheitslücke nicht auch von Kriminellen entdeckt oder parallel an diese verkauft würde. So könnten Lücken für lange Zeit unbemerkt ausgenutzt werden.

Schädigung der deutschen Wirtschaft

Nach Ansicht des CCC wäre der Erwerb und Handel mit Sicherheitslücken durch den BND "nicht nur in mehrfacher Hinsicht rechtlich fragwürdig, sondern ist auch eine direkte und vorsätzliche Schädigung der deutschen Wirtschaft." Sicherheitslücken sollten nach der Entdeckung geschlossen und nicht geheim gehalten werden, solange es irgendwie geht.

Der CCC fordert daher ein Verbot des Aufkaufs und der Verwendung von Zero-Day-Exploits durch Geheimdienste und andere deutsche Behörden. Stattdessen sollten die eingesparten Mittel in die Förderung von Software-Audits investiert werden. Deutsche Behörden und Unternehmen sollten zudem verpflichtet werden, im Rahmen einer "responsible disclosure" alle ihr bekanntgewordenen kritischen Sicherheitslücken zu veröffentlichen.

NSA darf weiter Zero Days aufkaufen

Seit dem Beginn der NSA-Enthüllungen wird auch in den USA diskutiert, inwieweit die NSA sich am Kauf von Zero-Days beteiligen darf. So war spekuliert worden, dass dem US-Auslandsgeheimdienst auch die Heartbleed-Lücke bereits seit längerem bekannt war. Dies hatte der Dienst aber dementiert. Eine von US-Präsident Barack Obama eingesetzte Expertenkommission forderte im Dezember 2013, dass Zero-Day-Exploits nur noch für Ausspähaktionen in hochwichtigen Fällen genutzt werden sollten.

In anderen Fällen sollte dafür gesorgt werden, solche Schwachstellen schnell zu beheben. Obama selbst soll der NSA im Januar 2014 erlaubt haben, in bestimmten Fällen Sicherheitslücken nicht zu melden. Die Bürgerrechtsorganisationen Electronic Frontier Foundation (EFF) will die US-Geheimdienste inzwischen gerichtlich dazu zwingen, ihre Entscheidungsgrundlagen zur Veröffentlichung von Zero-Day-Exploits bekanntzugeben.

Nachtrag vom 10. November 2014, 14:50 Uhr

Die Bundesregierung bestätigte am Montag die Zusammenarbeit deutscher Behörden mit der französischen Software-Sicherheitsfirma Vupen. Ein Sprecher des Bundesinnenministeriums sagte am Montag in Berlin, die Erkenntnisse aus der Zusammenarbeit mit Vupen seien vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vor allem für den Schutz der Regierungsnetze und nicht zur Weitergabe an Dritte erworben worden. Die Zusammenarbeit mit der französischen Firma sei inzwischen beendet worden.

Regierungssprecher Steffen Seibert erklärte, Ziel der Bundesregierung sei es, die Abhängigkeit von ausländischen Dienstleistern im Bereich IT-Sicherheit weiter zu reduzieren. "Es trifft zu, dass der BND plant, seine vorhandene technische Basis zu stärken", sagte Seibert. Das zentrale Element dieser Initiative sei der Aufbau eines Frühwarnsystems für Cyberangriffe.

Nach Ansicht der Grünen sind die Pläne "mit rechtsstaatlichen Vorgaben nicht zu vereinbaren". Durch den Ankauf, das Offenhalten und die Nutzung von Sicherheitslücken würden die Vertraulichkeit und Integrität informationstechnischer Systeme offen infrage gestellt, sagte der netzpolitische Sprecher der Grünen-Fraktion im Bundestag, Konstantin von Notz. Dadurch werde die IT-Sicherheit nicht erhöht, sondern ausgehöhlt. Da Exploits immer auch durch Kriminelle genutzt würden, ergäben sich "eklatante Sicherheitsrisiken für Bürgerinnen und Bürger, aber auch die Wirtschaft".



Anzeige
Blu-ray-Angebote
  1. 34,99€

tKahner 10. Nov 2014

@spYro: Ja, da stimme ich Dir im Wesentlichen zu! Aber ich wiederhole meine These, dass...

spYro 10. Nov 2014

Eine Verschlüsselung ist nur so gut, wie sie in Hard- und Software implementiert ist...

manitu 10. Nov 2014

Am besten stehen die lieben Black-Hats da. Wenn ich ein Exploit schreiben würde und das...

spambox 10. Nov 2014

Diese beiden Staatsorgane sind außer Kontrolle geratene, kriminelle Banden. Das ist keine...


Folgen Sie uns
       


ZTE Axon 9 Pro - Hands on (Ifa 2018)

Das Axon 9 Pro ist ZTEs erstes Smartphone nach der Beinahe-Pleite. In einem ersten Hands on hat uns das Gerät gut gefallen - besonders bei dem Preis von 650 Euro.

ZTE Axon 9 Pro - Hands on (Ifa 2018) Video aufrufen
Leistungsschutzrecht: So viel Geld würden die Verlage von Google bekommen
Leistungsschutzrecht
So viel Geld würden die Verlage von Google bekommen

Das europäische Leistungsschutzrecht soll die Zukunft der Presse sichern. Doch in Deutschland würde derzeit ein einziger Verlag fast zwei Drittel der Einnahmen erhalten.
Eine Analyse von Friedhelm Greis

  1. Netzpolitik Willkommen im europäischen Filternet
  2. Urheberrecht Europaparlament für Leistungsschutzrecht und Uploadfilter
  3. Leistungsschutzrecht/Uploadfilter Wikipedia protestiert gegen Urheberrechtsreform

Grafikkarten: Das kann Nvidias Turing-Architektur
Grafikkarten
Das kann Nvidias Turing-Architektur

Zwei Jahre nach Pascal folgt Turing: Die GPU-Architektur führt Tensor-Cores und RT-Kerne für Spieler ein. Die Geforce RTX haben mächtige Shader-Einheiten, große Caches sowie GDDR6-Videospeicher für Raytracing, für Deep-Learning-Kantenglättung und für mehr Leistung.
Ein Bericht von Marc Sauter

  1. Tesla T4 Nvidia bringt Googles Cloud auf Turing
  2. Battlefield 5 mit Raytracing Wenn sich der Gegner in unserem Rücken spiegelt
  3. Nvidia Turing Geforce RTX 2080 rechnet 50 Prozent schneller

Energietechnik: Die Verlockung der Lithium-Luft-Akkus
Energietechnik
Die Verlockung der Lithium-Luft-Akkus

Ein Akku mit der Energiekapazität eines Benzintanks würde viele Probleme lösen. In der Theorie ist das möglich. In der Praxis ist noch viel Arbeit nötig.
Von Frank Wunderlich-Pfeiffer

  1. Elektroautos CDU will Bau von Akkuzellenfabriken subventionieren
  2. Brine4Power EWE will Strom unter der Erde speichern
  3. Forschung Akku für Elektroautos macht es sich im Winter warm

    •  /