summaryrefslogtreecommitdiff
path: root/updates/2014
diff options
context:
space:
mode:
authorerdgeist <erdgeist@erdgeist.org>2014-11-10 08:04:26 +0000
committererdgeist <erdgeist@erdgeist.org>2020-05-23 13:39:44 +0000
commit441f3d5e73d0abc15ae9c9a21480652603aee3a7 (patch)
tree060f305ada3828f951d2843da055f61acec1cdf5 /updates/2014
parenta3112b2c9fffd2e8147791c6eb385adb39ae810a (diff)
committing page revision 1
Diffstat (limited to 'updates/2014')
-rw-r--r--updates/2014/0days-an-den-bnd.md81
1 files changed, 81 insertions, 0 deletions
diff --git a/updates/2014/0days-an-den-bnd.md b/updates/2014/0days-an-den-bnd.md
new file mode 100644
index 00000000..63a3981f
--- /dev/null
+++ b/updates/2014/0days-an-den-bnd.md
@@ -0,0 +1,81 @@
1title: CCC verurteilt den Ankauf von "0days" durch den BND
2date: 2014-11-10 08:00:00
3updated: 2014-11-10 08:04:26
4author: admin
5tags: update, pressemitteilung
6
7Passend zum Jahrestag des Mauerfalls hat der Bundesnachrichtendienst (BND) angekündigt, zukünftig auf dem Schwarzmarkt sogenannte Zero-Day-Exploits, also unveröffentlichte und unbehobene Sicherheitslücken in Software, aufzukaufen. Diese sollen dann im Rahmen von Aufklärungsversuchen zum Angriff auf Computersysteme benutzt werden. Der Chaos Computer Club (CCC) kritisiert die vom BND nun offen geforderte Ausnutzung von Schwachstellen als schweren Grundrechtseingriff und als inakzeptabel.
8
9<!-- TEASER_END -->
10
11Der BND will sich jetzt auch offiziell in die Lage versetzen, in
12beliebige Mobiltelefone und Computer einzubrechen. Angesichts der
13momentan im NSA-BND-Untersuchungsausschuß erst stattfindenden Versuche,
14die gegenwärtigen technischen Praktiken des Geheimdienstes in
15Kollaboration mit ausländischen Partnern zu verstehen und aufzuklären,
16ist diese Forderung an Dreistigkeit kaum zu überbieten. Die Enthüllungen
17der letzten anderthalb Jahre haben gezeigt, daß die unkontrollierten
18Geheimdienste weltweit alle ihnen zur Verfügung stehenden technischen
19Mittel nutzen, um sich weitgehend ohne effektive parlamentarische
20Kontrolle nicht nur Informationen über Opposition, kritische Presse und
21unbescholtene Bürger zu verschaffen, sondern schlichtweg sämtliche Daten
22abzugreifen, derer sie technisch habhaft werden können.
23
24Mit der unverhohlenen geheimdienstlichen Forderung, hinterrücks in
25Computer eindringen zu wollen, sollen praktisch kritische
26Sicherheitslücken mißbraucht werden, die auch anderen Kriminellen einen
27Angriffspunkt bieten. Gleichzeitig wird es Bürgern und Unternehmen
28erschwert, sich vor technischen Angriffen auf persönliche Daten oder
29Geschäftsgeheimnisse zu schützen und erleichtert zudem dritten
30Geheimdiensten das Ausspähen von Staats- und Betriebsgeheimnissen.
31
320day-Exploits werden auf dem ohnehin bereits von konkurrierenden
33Geheimdiensten finanzierten kriminellen Schwarzmarkt für sechs- bis
34achtstellige Euro-Beträge gehandelt. Um auf diesem Markt mitspielen zu
35können, müßte sich der BND mit Steuergeldern in gleicher Höhe am
36Bieterwettstreit beteiligen. Denn wie beim Handel mit Drogen oder Waffen
37regelt auch bei 0day-Exploits die Nachfrage das Angebot.
38
39Dirk Engling, Sprecher des CCC, warnte: "Wenn auch deutsche
40Geheimdienste diesen Schwarzmarkt mit unseren Steuergeldern noch
41anheizten, würde das erhebliche Folgekosten für die Wirtschaft haben,
42die schon heute kaum hinterherkommt, ihre technische Infrastruktur gegen
43Angriffe zu verteidigen." Der Anreiz würde weiter steigen, aufgespürte
44Sicherheitslücken im Geheimen zu Handeln bzw. gezielt vermeintlich
45harmlose Fehler in kritische Softwarekomponenten einzubauen und diese
46dann nach einiger Zeit den Diensten und ihren Partnerfirmen zu
47verkaufen.
48
49Die Logik des Mitmischen im Schwachstellen-Schwarzmarkt führt dazu, daß
50Geheimdienste ein Interesse daran haben müssen, wenn eklatante
51Sicherheitslücken möglichst lange unentdeckt bleiben, während sie
52gleichzeitig nicht sicherstellen können, daß die gleiche
53Sicherheitslücke nicht auch von Kriminellen entdeckt oder parallel an
54diese verkauft wird. So können dann entsprechende Lücken für lange Zeit
55unbemerkt ausgenutzt werden.
56
57Dirk Engling findet zu den Plänen des BND klare Worte: "Der geplante
58Erwerb und Handel mit Sicherheitslücken durch den BND wäre nicht nur in
59mehrfacher Hinsicht rechtlich fragwürdig, sondern ist auch eine direkte
60und vorsätzliche Schädigung der deutschen Wirtschaft." Sicherheitslücken
61gehören nach der Entdeckung geschlossen und nicht verkauft und
62geheimgehalten solange es irgendwie geht.
63
64Der CCC fordert ein Verbot des Aufkaufs und der Verwendung von 0days
65durch Geheimdienste und auch sonstige deutsche Behörden. Stattdessen
66sollten die eingesparten Gelder in die Förderung von Software-Audits
67investiert werden. Die für den Ankauf vorgesehenen Mittel sollten in
68eine gute personelle und materielle Ausstattung für Auditierungen von
69auf Open Source basierender Software fließen, statt in einen mindestens
70anrüchigen Schwarzmarkt Gelder zu stecken und erheblichen Schaden im
71IT-Sektor in Kauf zu nehmen.
72
73Deutsche Behörden und Unternehmen sollten zudem verpflichtet werden, im
74Rahmen einer "responsible disclosure" alle ihr bekanntgewordenen
75kritischen Sicherheitslücken zu veröffentlichen.
76
77### Links und weiterführende Informationen
78
79- \[1\]
80 http://www.spiegel.de/politik/deutschland/bnd-will-informationen-ueber-software-sicherheitsluecken-einkaufen-a-1001844.html
81- \[2\] http://buggedplanet.info/