Bericht: Auch BND will mit Sicherheitslücken SSL-Verschlüsselung knacken

Der Bundesnachrichtendienst (BND) ist angeblich am Kauf von Details zu Sicherheitslücken interessiert. Laut einem Bericht des Magazins Der Spiegel will er bis 2020 rund 4,5 Millionen Euro dafür ausgeben. Die Anfälligkeiten sollen helfen, die beispielsweise für den Datenverkehr zwischen Browsern und Servern eingesetzte SSL-Verschlüsselung zu knacken.

Die dafür benötigten Zero-Day-Exploits will der BND unter anderem über den grauen Markt beschaffen. Als Beispiel nennt Der Spiegel die Malware Stuxnet, die gleich mehrere zuvor unbekannte Schwachstellen ausnutzte und angeblich von den USA entwickelt wurde, um das Atom-Programm des Iran zu schädigen.

Seit mehr als einem Jahr ist bekannt, dass der US-Auslandsgeheimdienst National Security Agency (NSA) von der französischen Sicherheitsfirma Vupen Informationen über Zero-Day-Lücken gekauft hat. Laut der Website des in Montpellier ansässigen Unternehmens gehören zu seinem Portfolio auch Lösungen zum Eindringen in IT-Systeme, die es „Regierungsbehörden erlauben, ihre offensiven Cyber-Missionen durchzusetzen“.

Als Zero-Day-Lücken bezeichnet man sicherheitsrelevante Fehler, die von Forschern oder Hackern entdeckt wurden und für die es vom Hersteller noch keinen Patch gibt. Diese Fehler können unter Umständen benutzt werden, um sich Zugang zu Systemen zu verschaffen und Informationen zu stehlen. Oft werden sie von ihren Entdeckern vertraulich an die jeweiligen Hersteller gemeldet, die unter Umständen dafür sogar eine Belohnung zahlen. Zero-Day-Lücken werden aber auch von Cyberkriminellen auf dem Schwarzmarkt gehandelt.

Laut Der Spiegel vermuten Experten, dass die Preise für Zero-Day-Exploits durch das Interesse der Geheimdienste gestiegen sind. Aber auch Technologiefirmen wie Google zahlen immer höhere Prämien, damit die Entdecker von Schwachstellen ihre Erkenntnisse nicht an Dritte verkaufen.

„Den Markt für Schwachstellen zu unterstützen, ist aus staatlicher Sicht eine extrem schlechte Idee“, zitiert Der Spiegel Michael Waidner, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie. Zero-Day-Lücken seien auch eine Bedrohung für die eigenen Bürger, Unternehmen und Behörden, da niemand wisse, wer Zugriff auf die Anfälligkeiten erhalte.

Die Europäische Union will indes einem Bericht des Guardian zufolge die Ausfuhr von Spionagesoftware beschränken. Der Entwurf für eine neue Richtlinie sieht demnach vor, dass Anbieter von Spionageanwendungen künftig eine Exportgenehmigung benötigen. Sie sollen auf eine Stufe gestellt werden mit Technologien und Produkten, die nicht nur für zivile, sondern auch für militärische Zwecke genutzt werden können. Darauf finden sich schon jetzt Kernkraftwerke, besonders hoch auflösende Kameras und Raketentreibstoff.

Die britische Regierung unterstützt laut The Guardian eine stärkere Regulierung von Spionagesoftware. „Auch wenn es legitime Verwendungszwecke für diese Art von Technologien gibt, stellen sie auch eine Bedrohung für die nationale Sicherheit und die Menschenrechte dar, weswegen sie Exportkontrollen unterliegen sollten“, zitiert The Guardian einen Sprecher des Department for Business, Innovation and Skills.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago