Bericht: Auch BND will mit Sicherheitslücken SSL-Verschlüsselung knacken

Der Bundesnachrichtendienst (BND) ist angeblich am Kauf von Details zu Sicherheitslücken interessiert. Laut einem Bericht des Magazins Der Spiegel will er bis 2020 rund 4,5 Millionen Euro dafür ausgeben. Die Anfälligkeiten sollen helfen, die beispielsweise für den Datenverkehr zwischen Browsern und Servern eingesetzte SSL-Verschlüsselung zu knacken.

Die dafür benötigten Zero-Day-Exploits will der BND unter anderem über den grauen Markt beschaffen. Als Beispiel nennt Der Spiegel die Malware Stuxnet, die gleich mehrere zuvor unbekannte Schwachstellen ausnutzte und angeblich von den USA entwickelt wurde, um das Atom-Programm des Iran zu schädigen.

Seit mehr als einem Jahr ist bekannt, dass der US-Auslandsgeheimdienst National Security Agency (NSA) von der französischen Sicherheitsfirma Vupen Informationen über Zero-Day-Lücken gekauft hat. Laut der Website des in Montpellier ansässigen Unternehmens gehören zu seinem Portfolio auch Lösungen zum Eindringen in IT-Systeme, die es „Regierungsbehörden erlauben, ihre offensiven Cyber-Missionen durchzusetzen“.

Als Zero-Day-Lücken bezeichnet man sicherheitsrelevante Fehler, die von Forschern oder Hackern entdeckt wurden und für die es vom Hersteller noch keinen Patch gibt. Diese Fehler können unter Umständen benutzt werden, um sich Zugang zu Systemen zu verschaffen und Informationen zu stehlen. Oft werden sie von ihren Entdeckern vertraulich an die jeweiligen Hersteller gemeldet, die unter Umständen dafür sogar eine Belohnung zahlen. Zero-Day-Lücken werden aber auch von Cyberkriminellen auf dem Schwarzmarkt gehandelt.

Laut Der Spiegel vermuten Experten, dass die Preise für Zero-Day-Exploits durch das Interesse der Geheimdienste gestiegen sind. Aber auch Technologiefirmen wie Google zahlen immer höhere Prämien, damit die Entdecker von Schwachstellen ihre Erkenntnisse nicht an Dritte verkaufen.

„Den Markt für Schwachstellen zu unterstützen, ist aus staatlicher Sicht eine extrem schlechte Idee“, zitiert Der Spiegel Michael Waidner, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie. Zero-Day-Lücken seien auch eine Bedrohung für die eigenen Bürger, Unternehmen und Behörden, da niemand wisse, wer Zugriff auf die Anfälligkeiten erhalte.

Die Europäische Union will indes einem Bericht des Guardian zufolge die Ausfuhr von Spionagesoftware beschränken. Der Entwurf für eine neue Richtlinie sieht demnach vor, dass Anbieter von Spionageanwendungen künftig eine Exportgenehmigung benötigen. Sie sollen auf eine Stufe gestellt werden mit Technologien und Produkten, die nicht nur für zivile, sondern auch für militärische Zwecke genutzt werden können. Darauf finden sich schon jetzt Kernkraftwerke, besonders hoch auflösende Kameras und Raketentreibstoff.

Die britische Regierung unterstützt laut The Guardian eine stärkere Regulierung von Spionagesoftware. „Auch wenn es legitime Verwendungszwecke für diese Art von Technologien gibt, stellen sie auch eine Bedrohung für die nationale Sicherheit und die Menschenrechte dar, weswegen sie Exportkontrollen unterliegen sollten“, zitiert The Guardian einen Sprecher des Department for Business, Innovation and Skills.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de