committing page revision 1

author: erdgeist <erdgeist@erdgeist.org> 2014-11-10 08:04:26 +0000
committer: erdgeist <erdgeist@erdgeist.org> 2020-05-23 13:39:44 +0000
commit: 441f3d5e73d0abc15ae9c9a21480652603aee3a7 (patch)
tree: 060f305ada3828f951d2843da055f61acec1cdf5 /updates/2014
parent: a3112b2c9fffd2e8147791c6eb385adb39ae810a (diff)
1 files changed, 81 insertions, 0 deletions
diff --git a/updates/2014/0days-an-den-bnd.md b/updates/2014/0days-an-den-bnd.md
new file mode 100644
index 00000000..63a3981f
--- /dev/null
+++ b/updates/2014/0days-an-den-bnd.md
@@ -0,0 +1,81 @@
+title: CCC verurteilt den Ankauf von "0days" durch den BND
+date: 2014-11-10 08:00:00 
+updated: 2014-11-10 08:04:26 
+author: admin
+tags: update, pressemitteilung
+Passend zum Jahrestag des Mauerfalls hat der Bundesnachrichtendienst (BND) angekündigt, zukünftig auf dem Schwarzmarkt sogenannte Zero-Day-Exploits, also unveröffentlichte und unbehobene Sicherheitslücken in Software, aufzukaufen. Diese sollen dann im Rahmen von Aufklärungsversuchen zum Angriff auf Computersysteme benutzt werden. Der Chaos Computer Club (CCC) kritisiert die vom BND nun offen geforderte Ausnutzung von Schwachstellen als schweren Grundrechtseingriff und als inakzeptabel.
+<!-- TEASER_END -->
+Der BND will sich jetzt auch offiziell in die Lage versetzen, in
+beliebige Mobiltelefone und Computer einzubrechen. Angesichts der
+momentan im NSA-BND-Untersuchungsausschuß erst stattfindenden Versuche,
+die gegenwärtigen technischen Praktiken des Geheimdienstes in
+Kollaboration mit ausländischen Partnern zu verstehen und aufzuklären,
+ist diese Forderung an Dreistigkeit kaum zu überbieten. Die Enthüllungen
+der letzten anderthalb Jahre haben gezeigt, daß die unkontrollierten
+Geheimdienste weltweit alle ihnen zur Verfügung stehenden technischen
+Mittel nutzen, um sich weitgehend ohne effektive parlamentarische
+Kontrolle nicht nur Informationen über Opposition, kritische Presse und
+unbescholtene Bürger zu verschaffen, sondern schlichtweg sämtliche Daten
+abzugreifen, derer sie technisch habhaft werden können.
+Mit der unverhohlenen geheimdienstlichen Forderung, hinterrücks in
+Computer eindringen zu wollen, sollen praktisch kritische
+Sicherheitslücken mißbraucht werden, die auch anderen Kriminellen einen
+Angriffspunkt bieten. Gleichzeitig wird es Bürgern und Unternehmen
+erschwert, sich vor technischen Angriffen auf persönliche Daten oder
+Geschäftsgeheimnisse zu schützen und erleichtert zudem dritten
+Geheimdiensten das Ausspähen von Staats- und Betriebsgeheimnissen.
+0day-Exploits werden auf dem ohnehin bereits von konkurrierenden
+Geheimdiensten finanzierten kriminellen Schwarzmarkt für sechs- bis
+achtstellige Euro-Beträge gehandelt. Um auf diesem Markt mitspielen zu
+können, müßte sich der BND mit Steuergeldern in gleicher Höhe am
+Bieterwettstreit beteiligen. Denn wie beim Handel mit Drogen oder Waffen
+regelt auch bei 0day-Exploits die Nachfrage das Angebot.
+Dirk Engling, Sprecher des CCC, warnte: "Wenn auch deutsche
+Geheimdienste diesen Schwarzmarkt mit unseren Steuergeldern noch
+anheizten, würde das erhebliche Folgekosten für die Wirtschaft haben,
+die schon heute kaum hinterherkommt, ihre technische Infrastruktur gegen
+Angriffe zu verteidigen." Der Anreiz würde weiter steigen, aufgespürte
+Sicherheitslücken im Geheimen zu Handeln bzw. gezielt vermeintlich
+harmlose Fehler in kritische Softwarekomponenten einzubauen und diese
+dann nach einiger Zeit den Diensten und ihren Partnerfirmen zu
+verkaufen.
+Die Logik des Mitmischen im Schwachstellen-Schwarzmarkt führt dazu, daß
+Geheimdienste ein Interesse daran haben müssen, wenn eklatante
+Sicherheitslücken möglichst lange unentdeckt bleiben, während sie
+gleichzeitig nicht sicherstellen können, daß die gleiche
+Sicherheitslücke nicht auch von Kriminellen entdeckt oder parallel an
+diese verkauft wird. So können dann entsprechende Lücken für lange Zeit
+unbemerkt ausgenutzt werden.
+Dirk Engling findet zu den Plänen des BND klare Worte: "Der geplante
+Erwerb und Handel mit Sicherheitslücken durch den BND wäre nicht nur in
+mehrfacher Hinsicht rechtlich fragwürdig, sondern ist auch eine direkte
+und vorsätzliche Schädigung der deutschen Wirtschaft." Sicherheitslücken
+gehören nach der Entdeckung geschlossen und nicht verkauft und
+geheimgehalten solange es irgendwie geht.
+Der CCC fordert ein Verbot des Aufkaufs und der Verwendung von 0days
+durch Geheimdienste und auch sonstige deutsche Behörden. Stattdessen
+sollten die eingesparten Gelder in die Förderung von Software-Audits
+investiert werden. Die für den Ankauf vorgesehenen Mittel sollten in
+eine gute personelle und materielle Ausstattung für Auditierungen von
+auf Open Source basierender Software fließen, statt in einen mindestens
+anrüchigen Schwarzmarkt Gelder zu stecken und erheblichen Schaden im
+IT-Sektor in Kauf zu nehmen.
+Deutsche Behörden und Unternehmen sollten zudem verpflichtet werden, im
+Rahmen einer "responsible disclosure" alle ihr bekanntgewordenen
+kritischen Sicherheitslücken zu veröffentlichen.
+### Links und weiterführende Informationen
+-   \[1\]
+    http://www.spiegel.de/politik/deutschland/bnd-will-informationen-ueber-software-sicherheitsluecken-einkaufen-a-1001844.html
+-   \[2\] http://buggedplanet.info/
author	erdgeist <erdgeist@erdgeist.org>	2014-11-10 08:04:26 +0000
committer	erdgeist <erdgeist@erdgeist.org>	2020-05-23 13:39:44 +0000
commit	441f3d5e73d0abc15ae9c9a21480652603aee3a7 (patch)
tree	060f305ada3828f951d2843da055f61acec1cdf5 /updates/2014
parent	a3112b2c9fffd2e8147791c6eb385adb39ae810a (diff)

diff --git a/updates/2014/0days-an-den-bnd.md b/updates/2014/0days-an-den-bnd.md new file mode 100644 index 00000000..63a3981f --- /dev/null +++ b/updates/2014/0days-an-den-bnd.md
@@ -0,0 +1,81 @@
	1	title: CCC verurteilt den Ankauf von "0days" durch den BND
	2	date: 2014-11-10 08:00:00
	3	updated: 2014-11-10 08:04:26
	4	author: admin
	5	tags: update, pressemitteilung
	6
	7	Passend zum Jahrestag des Mauerfalls hat der Bundesnachrichtendienst (BND) angekündigt, zukünftig auf dem Schwarzmarkt sogenannte Zero-Day-Exploits, also unveröffentlichte und unbehobene Sicherheitslücken in Software, aufzukaufen. Diese sollen dann im Rahmen von Aufklärungsversuchen zum Angriff auf Computersysteme benutzt werden. Der Chaos Computer Club (CCC) kritisiert die vom BND nun offen geforderte Ausnutzung von Schwachstellen als schweren Grundrechtseingriff und als inakzeptabel.
	8
	9	<!-- TEASER_END -->
	10
	11	Der BND will sich jetzt auch offiziell in die Lage versetzen, in
	12	beliebige Mobiltelefone und Computer einzubrechen. Angesichts der
	13	momentan im NSA-BND-Untersuchungsausschuß erst stattfindenden Versuche,
	14	die gegenwärtigen technischen Praktiken des Geheimdienstes in
	15	Kollaboration mit ausländischen Partnern zu verstehen und aufzuklären,
	16	ist diese Forderung an Dreistigkeit kaum zu überbieten. Die Enthüllungen
	17	der letzten anderthalb Jahre haben gezeigt, daß die unkontrollierten
	18	Geheimdienste weltweit alle ihnen zur Verfügung stehenden technischen
	19	Mittel nutzen, um sich weitgehend ohne effektive parlamentarische
	20	Kontrolle nicht nur Informationen über Opposition, kritische Presse und
	21	unbescholtene Bürger zu verschaffen, sondern schlichtweg sämtliche Daten
	22	abzugreifen, derer sie technisch habhaft werden können.
	23
	24	Mit der unverhohlenen geheimdienstlichen Forderung, hinterrücks in
	25	Computer eindringen zu wollen, sollen praktisch kritische
	26	Sicherheitslücken mißbraucht werden, die auch anderen Kriminellen einen
	27	Angriffspunkt bieten. Gleichzeitig wird es Bürgern und Unternehmen
	28	erschwert, sich vor technischen Angriffen auf persönliche Daten oder
	29	Geschäftsgeheimnisse zu schützen und erleichtert zudem dritten
	30	Geheimdiensten das Ausspähen von Staats- und Betriebsgeheimnissen.
	31
	32	0day-Exploits werden auf dem ohnehin bereits von konkurrierenden
	33	Geheimdiensten finanzierten kriminellen Schwarzmarkt für sechs- bis
	34	achtstellige Euro-Beträge gehandelt. Um auf diesem Markt mitspielen zu
	35	können, müßte sich der BND mit Steuergeldern in gleicher Höhe am
	36	Bieterwettstreit beteiligen. Denn wie beim Handel mit Drogen oder Waffen
	37	regelt auch bei 0day-Exploits die Nachfrage das Angebot.
	38
	39	Dirk Engling, Sprecher des CCC, warnte: "Wenn auch deutsche
	40	Geheimdienste diesen Schwarzmarkt mit unseren Steuergeldern noch
	41	anheizten, würde das erhebliche Folgekosten für die Wirtschaft haben,
	42	die schon heute kaum hinterherkommt, ihre technische Infrastruktur gegen
	43	Angriffe zu verteidigen." Der Anreiz würde weiter steigen, aufgespürte
	44	Sicherheitslücken im Geheimen zu Handeln bzw. gezielt vermeintlich
	45	harmlose Fehler in kritische Softwarekomponenten einzubauen und diese
	46	dann nach einiger Zeit den Diensten und ihren Partnerfirmen zu
	47	verkaufen.
	48
	49	Die Logik des Mitmischen im Schwachstellen-Schwarzmarkt führt dazu, daß
	50	Geheimdienste ein Interesse daran haben müssen, wenn eklatante
	51	Sicherheitslücken möglichst lange unentdeckt bleiben, während sie
	52	gleichzeitig nicht sicherstellen können, daß die gleiche
	53	Sicherheitslücke nicht auch von Kriminellen entdeckt oder parallel an
	54	diese verkauft wird. So können dann entsprechende Lücken für lange Zeit
	55	unbemerkt ausgenutzt werden.
	56
	57	Dirk Engling findet zu den Plänen des BND klare Worte: "Der geplante
	58	Erwerb und Handel mit Sicherheitslücken durch den BND wäre nicht nur in
	59	mehrfacher Hinsicht rechtlich fragwürdig, sondern ist auch eine direkte
	60	und vorsätzliche Schädigung der deutschen Wirtschaft." Sicherheitslücken
	61	gehören nach der Entdeckung geschlossen und nicht verkauft und
	62	geheimgehalten solange es irgendwie geht.
	63
	64	Der CCC fordert ein Verbot des Aufkaufs und der Verwendung von 0days
	65	durch Geheimdienste und auch sonstige deutsche Behörden. Stattdessen
	66	sollten die eingesparten Gelder in die Förderung von Software-Audits
	67	investiert werden. Die für den Ankauf vorgesehenen Mittel sollten in
	68	eine gute personelle und materielle Ausstattung für Auditierungen von
	69	auf Open Source basierender Software fließen, statt in einen mindestens
	70	anrüchigen Schwarzmarkt Gelder zu stecken und erheblichen Schaden im
	71	IT-Sektor in Kauf zu nehmen.
	72
	73	Deutsche Behörden und Unternehmen sollten zudem verpflichtet werden, im
	74	Rahmen einer "responsible disclosure" alle ihr bekanntgewordenen
	75	kritischen Sicherheitslücken zu veröffentlichen.
	76
	77	### Links und weiterführende Informationen
	78
	79	- \[1\]
	80	http://www.spiegel.de/politik/deutschland/bnd-will-informationen-ueber-software-sicherheitsluecken-einkaufen-a-1001844.html
	81	- \[2\] http://buggedplanet.info/