Project Zero: Google fixt dem Westen die Zero Days weg - das ist gut so!
Im Westen nichts Neues? Doch! Die besonders bedrohliche Hackergruppe, die gleich 11 Zero Days im vergangenen Jahr genutzt hatte, soll nicht etwa zu den üblichen Verdächtigen aus Russland, China, Iran oder Nordkorea zählen, sondern aus dem Westen. Diese soll sich - wie kann es anders sein - mitten in einem Anti-Terror-Einsatz befunden haben, als Googles Project Zero ihnen die Zero Days unter dem Arsch weggefixt hat.
Öffentlich stellen sich Googles Project Zero, das Sicherheitslücken untersucht, sowie die Threat Analysis Group (TAG) hinter das Vorgehen, die Lücken nach Bekanntwerden direkt zu schließen. Doch nicht nur die Geheimdienste sind damit unzufrieden.
Google-Angestellte wollen Geheimdienste unterstützten
Wie das Magazin Technology Review berichtet(öffnet im neuen Fenster) , regt sich offenbar auch intern bei Google Widerstand gegen das Vorgehen der eigenen Sicherheitsteams. Immerhin wurden die angeblich guten westlichen Geheimdienste an ihrem Einsatz gegen den Terror gehindert! Das ist an Bigotterie kaum noch zu überbieten.
Dabei sind die Umstände der geheimdienstlichen Angriffe nicht einmal bekannt. Die Technology Review berichtet einzig, dass es sich um "eine aktiv durchgeführte Anti-Terror-Operation handelte" . Doch die Definition von Terrorismus ist im Westen wie im Osten äußerst vage.
Entsprechend einfach ist es für Geheimdienste, Zero Days in einer Anti-Terror-Operation zu verwenden: Es muss einfach das Ziel als möglicher Terrorist (suspected Terrorist) deklariert werden - wofür qua Definition eine Vermutung oder Kontaktschuld reicht.
Im Zweifel können so durchaus auch kritische Journalisten zu Terroristen oder Landesverrätern deklariert werden, was auch in Deutschland schon geschehen ist. Von Aktivisten oder den jeweils gegnerischen Geheimdiensten oder Staaten ganz zu schweigen - und damit ist letztlich jedes Mittel recht. Beispielsweise überwacht auch der deutsche Bundesnachrichtendienst (BND) immer wieder Journalisten .
Mit der Neuregelung des BND-Gesetzes darf der Geheimdienst sogar offiziell Dienste hacken . Die Central Intelligence Agency (CIA) darf seit 2018 sogar selbstständig hacken . Ein geheimer Erlass des ehemaligen US-Präsidenten Donald Trump erlaubt der CIA aktive Angriffe über das Internet sowie die eigenständige Auswahl der Ziele.
Zero Days und Geheimdienste sind eine Gefahr für die Allgemeinheit
Doch selbst wenn westliche Geheimdienste nur Gutes tun würden - was definitiv nicht der Fall ist, wie wir allerspätestens seit den Snowden-Leaks wissen - sind die genutzten Zero Days immer eine Gefahr. Allein schon deshalb, weil sie auch von anderen Geheimdiensten oder auch Kriminellen genutzt werden können.
Das nämlich passiert mit den geheimdienstlichen Sicherheitslücken regelmäßig: So wurde erst Anfang des Jahres bekannt, dass eine chinesische Hackergruppe einen Zero Day der NSA stehlen konnte und über mehre Jahre mit nutzte. Ähnliches war bei NSA-Backdoors in der Netzwerktechnik von Juniper der Fall . Auch diese wurde von China genutzt - um die USA zu hacken.
Es soll ja Menschen geben, die ernsthaft glauben, dass das Offenhalten von Sicherheitslücken die Sicherheit fördert. Die Idee dahinter - Sicherheit durch Unsicherheit - erinnert stark an den Euphemismus "Krieg ist Frieden" aus dem Roman 1984. Wer tatsächlich an solche Aussagen glaubt, dem ist wohl nicht mehr zu helfen.
Geheimdienste Hacken und Töten
Dabei werden die Daten aus Hacks auch dazu genutzt, Menschen extralegal zu töten, beispielsweise mit sogenannten Drohnenmorden. Das gab der ehemalige NSA- und CIA-Chef Michael Hayden 2014 auf einer Podiumsdiskussion offen zu: "Wir töten Menschen auf Basis von Metadaten."
Zusätzlich zu den Geheimdiensten, die sich ihre Zero Days und Lücken gegenseitig für den vermeintlichen Anti-Terror-Kampf klauen, landen diese Werkzeuge eben früher oder später auch in den Händen von Kriminellen, die damit teils extrem großen wirtschaftlichen Schaden anrichten können. Besonders eindrücklich zeigten das die Wannacry-Ransomware-Attacken im Frühjahr 2017, die auf Zero Days der NSA aufbauten.
Bastion gegen Hacking wackelt
Dass bei all den offensichtlichen Gefahren nun nicht mehr nur notorisch angriffslustige Geheimdienstler und Politiker darüber diskutieren, ob Google die Lücken wirklich hätte schließen müssen, sondern auch Google-Angestellte selbst, ist extrem besorgniserregend. Denn oft sind eben Firmen wie Google, Microsoft oder andere große Software-Hersteller die letzte Bastion gegen groß angelegte, staatlich finanzierte Hacking-Angriffe. Doch das scheint nun langsam zu bröckeln.
Sollte es tatsächlich irgendwann dazu kommen, dass Unternehmen durch Nichtstun Geheimdienste in ihrem Wirken unterstützen, gefährdet das nicht nur fahrlässig die IT-Sicherheit aller, sondern wie in der Vergangenheit gesehen auch die Wirtschaft. Die beteiligten Unternehmen schaden sich damit am Ende auch nur selbst. Denn wer will schon Software benutzen, bei der Sicherheitslücken aus welchem Grund auch immer ganz bewusst nicht behoben werden? Das ist ein dystopisches Szenario, das hoffentlich nie Wirklichkeit wird.
IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).