BND hat es auf SSL abgesehen

Bundesnachrichtendienst (Grafik: BND)

Dem Bundesnachrichtendienst sind verschlüsselte Verbindungen offenbar nach wie vor ein Dorn im Auge daher will sich die Behörde nun Wissen über Zero-Day-Lecks einkaufen. Branchenverbände kritisieren diese Pläne.

Bundesnachrichtendienst

Verschlüsselungstechnologien wie SSL will der Bundesnachrichtendienst (BND) angeblich mit eingekauften Details zu Sicherheitslücken aufbrechen. Das berichtet das Blatt Der Spiegel. Angeblich will der Geheimdienst bis 2020 rund 4,5 Millionen Euro dafür ausgeben. Diese Zero-Day-Exploits wolle der BND unter anderem über den grauen Markt beschaffen. Als Beispiel nennt Spiegel die Malware Stuxnet, die gleich mehrere zuvor unbekannte Schwachstellen ausnutzte, um das Atom-Programm des Iran zu schädigen.

Seit mehr als einem Jahr ist bekannt, dass der US-Auslandsgeheimdienst National Security Agency (NSA) von der französischen Sicherheitsfirma Vupen Informationen über Zero-Day-Lücken gekauft hat. Laut der Website des in Montpellier ansässigen Unternehmens gehören zu seinem Portfolio auch Lösungen zum Eindringen in IT-Systeme, die es “Regierungsbehörden erlauben, ihre offensiven Cyber-Missionen durchzusetzen”.

Als Zero-Day-Lücken bezeichnet man sicherheitsrelevante Fehler, die von Forschern oder Hackern entdeckt wurden und für die es vom Hersteller noch keinen Patch gibt. Diese Fehler können unter Umständen benutzt werden, um sich Zugang zu Systemen zu verschaffen und Informationen zu stehlen. Bestenfalls werden solche Entdeckungen von den Entdeckern vertraulich an die jeweiligen Hersteller gemeldet, die dafür möglicherweise Belohnungen zahlen. Zero-Day-Lücken sind aber auch für Cyberkriminelle von hohem interesse und werden daher auch in entsprechenden Kreisen gehandelt.

Spiegel zitiert Experten, die erklären, dass die Preise für Zero-Day-Exploits durch das Interesse der Geheimdienste gestiegen sind. Aber auch Technologiefirmen wie Google zahlen immer höhere Prämien, damit die Entdecker von Schwachstellen ihre Erkenntnisse nicht an Dritte verkaufen.

“Den Markt für Schwachstellen zu unterstützen, ist aus staatlicher Sicht eine extrem schlechte Idee”, zitiert Der Spiegel Michael Waidner, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie. Zero-Day-Lücken seien auch eine Bedrohung für die eigenen Bürger, Unternehmen und Behörden, da niemand wisse, wer Zugriff auf die Anfälligkeiten erhalte.

“Das Vorhaben des Bundesnachrichtendienstes steht aus unserer Sicht in krassem Widerspruch zu dem von der Bundesregierung im Rahmen der Digitalen Agenda definierten und mit dem geplanten IT-Sicherheitsgesetz verfolgten Ziel, Deutschland zum führenden Standort für IT-Sicherheit zu machen”, kritisiert indes der eco Vorstand für Politik und Recht, Oliver Süme. Diese selbstgesteckten Ziele würden vielmehr dadurch erreicht, indem bekannte Schwachstellen schnell geschlossen werden. Süme: “Wir appellieren daher an den Bundestag, dieses Programm im Zusammenhang mit den dafür vorgesehen finanziellen Mitteln kritisch zu prüfen.”

Die Europäische Union will indes einem Bericht des Guardian zufolge die Ausfuhr von Spionagesoftware beschränken. Der Entwurf für eine neue Richtlinie sieht demnach vor, dass Anbieter von Spionageanwendungen künftig eine Exportgenehmigung benötigen. Sie sollen auf eine Stufe gestellt werden mit Technologien und Produkten, die nicht nur für zivile, sondern auch für militärische Zwecke genutzt werden können. Darauf finden sich schon jetzt Kernkraftwerke, besonders hoch auflösende Kameras und Raketentreibstoff.

Die britische Regierung unterstützt laut The Guardian eine stärkere Regulierung von Spionagesoftware. “Auch wenn es legitime Verwendungszwecke für diese Art von Technologien gibt, stellen sie auch eine Bedrohung für die nationale Sicherheit und die Menschenrechte dar, weswegen sie Exportkontrollen unterliegen sollten”, zitiert The Guardian einen Sprecher des Department for Business, Innovation and Skills.

Update um 17.30 mit einem Kommentar des Branchenverbandes eco.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de