Sicherheitslücke: BND will Zero Day Exploits einkaufen

Der Geheimdienst BND (Bundesnachrichtendienst) hat vor, Zero Day Exploits einzukaufen. Das berichtet das Nachrichtenmagazin Der Spiegel unter Berufung auf geheime Planungsunterlagen. Das Projekt mit dem Codenamen Nitidezza (italienisch: Bildschärfe) sei Teil der "Strategischen Initiative Technik".

Von 2015 bis 2020 wolle BND-Präsident Gerhard Schindler 4,5 Millionen Euro dafür zahlen, verschlüsselte Signale auswertbar zu machen. So wollten die deutschen Spione "künftig auf Augenhöhe mit führenden westlichen Nachrichtendiensten kooperieren" können. Genannt werde die Überwindung des SSL-Protokolls.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) habe dem Spiegel auf Anfrage mitgeteilt, es habe "bis September 2014" einen Vertrag mit der französischen Firma Vupen unterhalten. Dabei sei es "ausschließlich" um "den Schutz der Regierungsnetze" gegangen.

Die Washington Post berichtete aus Wikileaks-Dokumenten, dass Vupen im Jahr 2011 damit geworben habe, exklusive, noch unbekannte Exploits liefern zu können. Dafür seien Jahresabonnements für Geheimdienste angeboten worden. Im Jahr 2011 hatten sich Google und Vupen darüber gestritten, ob Vupen das Sandbox-System von Chrome ausgehebelt hatte. Vupen kündigte im August 2013 an, eine Niederlassung in Maryland zu eröffnen. Der Hauptsitz der NSA ist in Fort Meade im US-Bundesstaat Maryland. Die NSA gab im Jahr 2013 bereits über 25 Millionen US-Dollar für Zero-Day-Exploits aus.

"Den Markt für Schwachstellen zu unterstützen, ist aus staatlicher Sicht eine extrem schlechte Idee", sagte Michael Waidner, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie, dem Spiegel. Jede Lücke sei für die eigenen Bürger, Behörden und Unternehmen ein großes Risiko, da niemand wisse, wer alles das Wissen um Schwachstellen kaufe.