1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
|
title: CCC verurteilt den Ankauf von "0days" durch den BND
date: 2014-11-10 08:00:00
updated: 2014-11-14 05:58:19
author: admin
tags: update, pressemitteilung
Passend zum Jahrestag des Mauerfalls hat der Bundesnachrichtendienst (BND) angekündigt, zukünftig auf dem Schwarzmarkt sogenannte Zero-Day-Exploits, also unveröffentlichte und unbehobene Sicherheitslücken in Software, aufzukaufen. Diese sollen dann im Rahmen von Aufklärungsversuchen zum Angriff auf Computersysteme benutzt werden. Der Chaos Computer Club (CCC) kritisiert die vom BND nun offen geforderte Ausnutzung von Schwachstellen als schweren Grundrechtseingriff und als inakzeptabel.
<!-- TEASER_END -->
Der BND will sich jetzt auch offiziell in die Lage versetzen, in
beliebige Mobiltelefone und Computer einzubrechen. Angesichts der
momentan im NSA-BND-Untersuchungsausschuß erst stattfindenden Versuche,
die gegenwärtigen technischen Praktiken des Geheimdienstes in
Kollaboration mit ausländischen Partnern zu verstehen und aufzuklären,
ist diese Forderung an Dreistigkeit kaum zu überbieten. Die Enthüllungen
der letzten anderthalb Jahre haben gezeigt, daß die unkontrollierten
Geheimdienste weltweit alle ihnen zur Verfügung stehenden technischen
Mittel nutzen, um sich weitgehend ohne effektive parlamentarische
Kontrolle nicht nur Informationen über Opposition, kritische Presse und
unbescholtene Bürger zu verschaffen, sondern schlichtweg sämtliche Daten
abzugreifen, derer sie technisch habhaft werden können.
Mit der unverhohlenen geheimdienstlichen Forderung, hinterrücks in
Computer eindringen zu wollen, sollen praktisch kritische
Sicherheitslücken mißbraucht werden, die auch anderen Kriminellen einen
Angriffspunkt bieten. Gleichzeitig wird es Bürgern und Unternehmen
erschwert, sich vor technischen Angriffen auf persönliche Daten oder
Geschäftsgeheimnisse zu schützen und erleichtert zudem dritten
Geheimdiensten das Ausspähen von Staats- und Betriebsgeheimnissen.
0day-Exploits werden auf dem ohnehin bereits von konkurrierenden
Geheimdiensten finanzierten kriminellen Schwarzmarkt für sechs- bis
achtstellige Euro-Beträge gehandelt. Um auf diesem Markt mitspielen zu
können, müßte sich der BND mit Steuergeldern in gleicher Höhe am
Bieterwettstreit beteiligen. Denn wie beim Handel mit Drogen oder Waffen
regelt auch bei 0day-Exploits die Nachfrage das Angebot.
Dirk Engling, Sprecher des CCC, warnte: "Wenn auch deutsche
Geheimdienste diesen Schwarzmarkt mit unseren Steuergeldern noch
anheizten, würde das erhebliche Folgekosten für die Wirtschaft haben,
die schon heute kaum hinterherkommt, ihre technische Infrastruktur gegen
Angriffe zu verteidigen." Der Anreiz würde weiter steigen, aufgespürte
Sicherheitslücken im Geheimen zu handeln bzw. gezielt vermeintlich
harmlose Fehler in kritische Softwarekomponenten einzubauen und diese
dann nach einiger Zeit den Diensten und ihren Partnerfirmen zu
verkaufen.
Die Logik des Mitmischen im Schwachstellen-Schwarzmarkt führt dazu, daß
Geheimdienste ein Interesse daran haben müssen, wenn eklatante
Sicherheitslücken möglichst lange unentdeckt bleiben, während sie
gleichzeitig nicht sicherstellen können, daß die gleiche
Sicherheitslücke nicht auch von Kriminellen entdeckt oder parallel an
diese verkauft wird. So können dann entsprechende Lücken für lange Zeit
unbemerkt ausgenutzt werden.
Dirk Engling findet zu den Plänen des BND klare Worte: "Der geplante
Erwerb und Handel mit Sicherheitslücken durch den BND wäre nicht nur in
mehrfacher Hinsicht rechtlich fragwürdig, sondern ist auch eine direkte
und vorsätzliche Schädigung der deutschen Wirtschaft." Sicherheitslücken
gehören nach der Entdeckung geschlossen und nicht verkauft und
geheimgehalten solange es irgendwie geht.
Der CCC fordert ein Verbot des Aufkaufs und der Verwendung von 0days
durch Geheimdienste und auch sonstige deutsche Behörden. Stattdessen
sollten die eingesparten Gelder in die Förderung von Software-Audits
investiert werden. Die für den Ankauf vorgesehenen Mittel sollten in
eine gute personelle und materielle Ausstattung für Auditierungen von
auf Open Source basierender Software fließen, statt in einen mindestens
anrüchigen Schwarzmarkt Gelder zu stecken und erheblichen Schaden im
IT-Sektor in Kauf zu nehmen.
Deutsche Behörden und Unternehmen sollten zudem verpflichtet werden, im
Rahmen einer "responsible disclosure" alle ihr bekanntgewordenen
kritischen Sicherheitslücken zu veröffentlichen.
### Links und weiterführende Informationen
- \[1\]
<http://www.spiegel.de/politik/deutschland/bnd-will-informationen-ueber-software-sicherheitsluecken-einkaufen-a-1001844.html>
- \[2\] <http://buggedplanet.info/>
|