Project Zero: Google fixt dem Westen die Zero Days weg - das ist gut so!

Im Westen nichts Neues? Doch! Die besonders bedrohliche Hackergruppe, die gleich 11 Zero Days im vergangenen Jahr genutzt hatte, soll nicht etwa zu den üblichen Verdächtigen aus Russland, China, Iran oder Nordkorea zählen, sondern aus dem Westen. Diese soll sich - wie kann es anders sein - mitten in einem Anti-Terror-Einsatz befunden haben, als Googles Project Zero ihnen die Zero Days unter dem Arsch weggefixt hat.

Öffentlich stellen sich Googles Project Zero, das Sicherheitslücken untersucht, sowie die Threat Analysis Group (TAG) hinter das Vorgehen, die Lücken nach Bekanntwerden direkt zu schließen. Doch nicht nur die Geheimdienste sind damit unzufrieden.

Google-Angestellte wollen Geheimdienste unterstützten

Wie das Magazin Technology Review berichtet, regt sich offenbar auch intern bei Google Widerstand gegen das Vorgehen der eigenen Sicherheitsteams. Immerhin wurden die angeblich guten westlichen Geheimdienste an ihrem Einsatz gegen den Terror gehindert! Das ist an Bigotterie kaum noch zu überbieten.

Dabei sind die Umstände der geheimdienstlichen Angriffe nicht einmal bekannt. Die Technology Review berichtet einzig, dass es sich um "eine aktiv durchgeführte Anti-Terror-Operation handelte". Doch die Definition von Terrorismus ist im Westen wie im Osten äußerst vage.

Entsprechend einfach ist es für Geheimdienste, Zero Days in einer Anti-Terror-Operation zu verwenden: Es muss einfach das Ziel als möglicher Terrorist (suspected Terrorist) deklariert werden - wofür qua Definition eine Vermutung oder Kontaktschuld reicht.

Im Zweifel können so durchaus auch kritische Journalisten zu Terroristen oder Landesverrätern deklariert werden, was auch in Deutschland schon geschehen ist. Von Aktivisten oder den jeweils gegnerischen Geheimdiensten oder Staaten ganz zu schweigen - und damit ist letztlich jedes Mittel recht. Beispielsweise überwacht auch der deutsche Bundesnachrichtendienst (BND) immer wieder Journalisten.

Mit der Neuregelung des BND-Gesetzes darf der Geheimdienst sogar offiziell Dienste hacken. Die Central Intelligence Agency (CIA) darf seit 2018 sogar selbstständig hacken. Ein geheimer Erlass des ehemaligen US-Präsidenten Donald Trump erlaubt der CIA aktive Angriffe über das Internet sowie die eigenständige Auswahl der Ziele.

Zero Days und Geheimdienste sind eine Gefahr für die Allgemeinheit

Doch selbst wenn westliche Geheimdienste nur Gutes tun würden - was definitiv nicht der Fall ist, wie wir allerspätestens seit den Snowden-Leaks wissen - sind die genutzten Zero Days immer eine Gefahr. Allein schon deshalb, weil sie auch von anderen Geheimdiensten oder auch Kriminellen genutzt werden können.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Das nämlich passiert mit den geheimdienstlichen Sicherheitslücken regelmäßig: So wurde erst Anfang des Jahres bekannt, dass eine chinesische Hackergruppe einen Zero Day der NSA stehlen konnte und über mehre Jahre mit nutzte. Ähnliches war bei NSA-Backdoors in der Netzwerktechnik von Juniper der Fall. Auch diese wurde von China genutzt - um die USA zu hacken.

Es soll ja Menschen geben, die ernsthaft glauben, dass das Offenhalten von Sicherheitslücken die Sicherheit fördert. Die Idee dahinter - Sicherheit durch Unsicherheit - erinnert stark an den Euphemismus "Krieg ist Frieden" aus dem Roman 1984. Wer tatsächlich an solche Aussagen glaubt, dem ist wohl nicht mehr zu helfen.