Abo
  • Services:
Anzeige
Der Heartbleed-Bug hätte auf dem Schwarzmarkt sicher hohe Summen erzielen können.
Der Heartbleed-Bug hätte auf dem Schwarzmarkt sicher hohe Summen erzielen können. (Bild: EFF)

BND-Kauf von Zero Days: CCC warnt vor "Mitmischen im Schwachstellen-Schwarzmarkt"

Der Heartbleed-Bug hätte auf dem Schwarzmarkt sicher hohe Summen erzielen können.
Der Heartbleed-Bug hätte auf dem Schwarzmarkt sicher hohe Summen erzielen können. (Bild: EFF)

"An Dreistigkeit kaum zu überbieten": Der Chaos Computer Club kritisiert die angeblichen Pläne des BND zum Ankauf von bislang unbekannten Sicherheitslücken. Das Geld ließe sich viel besser verwenden.

Anzeige

Der Chaos Computer Club warnt vor dem möglichen Ankauf von Zero-Day-Exploits durch den Bundesnachrichtendienst. Dadurch würde der Anreiz steigen, aufgespürte Sicherheitslücken im Geheimen zu handeln und gezielt vermeintlich harmlose Fehler in kritische Softwarekomponenten einzubauen, sagte der Sprecher des Chaos Computer Club (CCC), Dirk Engling, am Montag und fügte hinzu: "Wenn auch deutsche Geheimdienste diesen Schwarzmarkt mit unseren Steuergeldern noch anheizten, würde das erhebliche Folgekosten für die Wirtschaft haben, die schon heute kaum hinterherkommt, ihre technische Infrastruktur gegen Angriffe zu verteidigen."

Der Spiegel hatte am Wochenende berichtet, der Bundesnachrichtendienst (BND) habe bis 2020 rund 4,5 Millionen Euro eingeplant, um beispielsweise die gängige Transportverschlüsselung SSL zu knacken. Um SSL zu umgehen, will der BND Informationen über Software-Schwachstellen einkaufen, wie sie beispielsweise im April 2014 mit dem sogenannten Heartbleed-Bug bekanntgeworden waren.

Lücken könnten lange Zeit unentdeckt bleiben

Der CCC hält einen solchen Missbrauch kritischer Sicherheitslücken in mehrfacher Weise für gefährlich. So werde es Bürgern und Unternehmen erschwert, sich vor technischen Angriffen auf persönliche Daten oder Geschäftsgeheimnisse zu schützen. Zudem werde dritten Geheimdiensten das Ausspähen von Staats- und Betriebsgeheimnissen erleichtert. Angesichts der aktuellen Aufklärungsversuche durch den NSA-Untersuchungsausschuss seien die Forderungen des BND "an Dreistigkeit kaum zu überbieten".

Die "Logik des Mitmischens im Schwachstellen-Schwarzmarkt" führe dazu, dass Geheimdienste ein Interesse daran haben müssten, wenn eklatante Sicherheitslücken möglichst lange unentdeckt blieben, während sie gleichzeitig nicht sicherstellen könnten, dass dieselbe Sicherheitslücke nicht auch von Kriminellen entdeckt oder parallel an diese verkauft würde. So könnten Lücken für lange Zeit unbemerkt ausgenutzt werden.

Schädigung der deutschen Wirtschaft

Nach Ansicht des CCC wäre der Erwerb und Handel mit Sicherheitslücken durch den BND "nicht nur in mehrfacher Hinsicht rechtlich fragwürdig, sondern ist auch eine direkte und vorsätzliche Schädigung der deutschen Wirtschaft." Sicherheitslücken sollten nach der Entdeckung geschlossen und nicht geheim gehalten werden, solange es irgendwie geht.

Der CCC fordert daher ein Verbot des Aufkaufs und der Verwendung von Zero-Day-Exploits durch Geheimdienste und andere deutsche Behörden. Stattdessen sollten die eingesparten Mittel in die Förderung von Software-Audits investiert werden. Deutsche Behörden und Unternehmen sollten zudem verpflichtet werden, im Rahmen einer "responsible disclosure" alle ihr bekanntgewordenen kritischen Sicherheitslücken zu veröffentlichen.

NSA darf weiter Zero Days aufkaufen

Seit dem Beginn der NSA-Enthüllungen wird auch in den USA diskutiert, inwieweit die NSA sich am Kauf von Zero-Days beteiligen darf. So war spekuliert worden, dass dem US-Auslandsgeheimdienst auch die Heartbleed-Lücke bereits seit längerem bekannt war. Dies hatte der Dienst aber dementiert. Eine von US-Präsident Barack Obama eingesetzte Expertenkommission forderte im Dezember 2013, dass Zero-Day-Exploits nur noch für Ausspähaktionen in hochwichtigen Fällen genutzt werden sollten.

In anderen Fällen sollte dafür gesorgt werden, solche Schwachstellen schnell zu beheben. Obama selbst soll der NSA im Januar 2014 erlaubt haben, in bestimmten Fällen Sicherheitslücken nicht zu melden. Die Bürgerrechtsorganisationen Electronic Frontier Foundation (EFF) will die US-Geheimdienste inzwischen gerichtlich dazu zwingen, ihre Entscheidungsgrundlagen zur Veröffentlichung von Zero-Day-Exploits bekanntzugeben.

Nachtrag vom 10. November 2014, 14:50 Uhr

Die Bundesregierung bestätigte am Montag die Zusammenarbeit deutscher Behörden mit der französischen Software-Sicherheitsfirma Vupen. Ein Sprecher des Bundesinnenministeriums sagte am Montag in Berlin, die Erkenntnisse aus der Zusammenarbeit mit Vupen seien vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vor allem für den Schutz der Regierungsnetze und nicht zur Weitergabe an Dritte erworben worden. Die Zusammenarbeit mit der französischen Firma sei inzwischen beendet worden.

Regierungssprecher Steffen Seibert erklärte, Ziel der Bundesregierung sei es, die Abhängigkeit von ausländischen Dienstleistern im Bereich IT-Sicherheit weiter zu reduzieren. "Es trifft zu, dass der BND plant, seine vorhandene technische Basis zu stärken", sagte Seibert. Das zentrale Element dieser Initiative sei der Aufbau eines Frühwarnsystems für Cyberangriffe.

Nach Ansicht der Grünen sind die Pläne "mit rechtsstaatlichen Vorgaben nicht zu vereinbaren". Durch den Ankauf, das Offenhalten und die Nutzung von Sicherheitslücken würden die Vertraulichkeit und Integrität informationstechnischer Systeme offen infrage gestellt, sagte der netzpolitische Sprecher der Grünen-Fraktion im Bundestag, Konstantin von Notz. Dadurch werde die IT-Sicherheit nicht erhöht, sondern ausgehöhlt. Da Exploits immer auch durch Kriminelle genutzt würden, ergäben sich "eklatante Sicherheitsrisiken für Bürgerinnen und Bürger, aber auch die Wirtschaft".


eye home zur Startseite
tKahner 10. Nov 2014

@spYro: Ja, da stimme ich Dir im Wesentlichen zu! Aber ich wiederhole meine These, dass...

spYro 10. Nov 2014

Eine Verschlüsselung ist nur so gut, wie sie in Hard- und Software implementiert ist...

manitu 10. Nov 2014

Am besten stehen die lieben Black-Hats da. Wenn ich ein Exploit schreiben würde und das...

spambox 10. Nov 2014

Diese beiden Staatsorgane sind außer Kontrolle geratene, kriminelle Banden. Das ist keine...



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, München
  2. Power Service GmbH, Köln
  3. Stadtwerke München GmbH, München
  4. T-Systems International GmbH, verschiedene Standorte


Anzeige
Top-Angebote
  1. 189,00€
  2. 3,00€ inkl. Versand

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. LG G6 im Hands on

    Schlankes Smartphone hat zwei Kameralinsen

  2. P10 und P10 Plus im Hands on

    Huaweis neues P10 kostet 650 Euro

  3. Mobilfunk

    Nokia bringt Vorstandard 5G-Netzwerkausrüstung

  4. Blackberry Key One im Hands on

    Android-Smartphone mit toller Hardware-Tastatur

  5. Deutschland

    Smartphone-Aufnahmen in Wahlkabinen werden verboten

  6. Stewart International Airport

    New Yorker Flughafen wohl ein Jahr schutzlos am Netz

  7. Blackberry Key One

    Android-Smartphone mit Hardware-Tastatur kostet viel

  8. Arrow Launcher 3.0

    Microsofts Android-Launcher braucht weniger Energie und RAM

  9. Die Woche im Video

    Angeswitcht, angegriffen, abgeturnt

  10. Hardlight VR Suit

    Vibrations-Weste soll VR-Erlebnis realistischer machen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Limux: Die tragische Geschichte eines Leuchtturm-Projekts
Limux
Die tragische Geschichte eines Leuchtturm-Projekts
  1. Limux München prüft Rückkehr zu Windows
  2. Limux-Projekt Windows könnte München mehr als sechs Millionen Euro kosten
  3. Limux Münchner Stadtrat ignoriert selbst beauftragte Studie

Wacoms Intuos Pro Paper im Test: Weg mit digital, her mit Stift und Papier!
Wacoms Intuos Pro Paper im Test
Weg mit digital, her mit Stift und Papier!
  1. Wacom Brainwave Ein Graph sagt mehr als tausend Worte
  2. Canvas Dells Stift-Tablet bedient sich bei Microsoft und Wacom
  3. Intuos Pro Wacom verbindet Zeichentablet mit echtem Papier

Bundesnetzagentur: Puppenverbot gefährdet das Smart Home und Bastler
Bundesnetzagentur
Puppenverbot gefährdet das Smart Home und Bastler
  1. My Friend Cayla Eltern müssen Puppen ihrer Kinder zerstören
  2. Matoi Imagno Wenn die Holzklötzchen zu dir sprechen
  3. Smart Gurlz Programmieren lernen mit Puppen

  1. Re: Sinn und Zweck?

    Cok3.Zer0 | 15:59

  2. Re: Wie löst man das Problem?

    FalschesEnde | 15:57

  3. Re: Erklärung für einen Kryptodepp

    bombinho | 15:57

  4. Re: Wie siehts mit root aus bei Blackberry?

    Hypfer | 15:55

  5. Preis?

    ChMu | 15:52


  1. 15:49

  2. 14:30

  3. 13:59

  4. 12:37

  5. 12:17

  6. 10:41

  7. 20:21

  8. 11:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel