BND-Aufkauf von Sicherheitslücken – Trend Micro prüft Klage

Spionage (Bild: Shutterstock)

Darf sich der BND mit Wissen über Zero-Day-Lecks auf dem Schwarzmarkt eindecken? Und falls nicht, kann man den deutschen Geheimdienst dann auch verklagen? Das Sicherheitsunternehmen Trend Micro prüft derzeit rechtliche Schritte gegen den Bundesnachrichtendienst.

Der IT-Sicherheitsanbieter Trend Micro prüft derzeit sowohl ob überhaupt – und wenn ja wie – rechtliche Schritte möglich sind, um gegen die Pläne des Bundesnachrichtendienstes (BND) vorzugehen, der für seine Arbeit Wissen über Sicherheitslücken ankaufen will. Das hat Raimund Genes, CTO bei Trend Micro, gestern Abend während einer Veranstaltung im Presseclub München erklärt. Als Grundlage einer möglichen Klage könnte Paragraf 202c des Strafgesetzbuches, der sogenannte “Hackerparagraf” dienen, der das “Vorbereiten des Ausspähens und Abfangens von Daten” unter Strafe stellt. Eine Frage, die zu prüfen ist, ist sicherlich, inwieweit sich der BND auch hier im Rahmen der Gesetze bewegen muss oder ob sie für ihn nicht gelten.

Raimund Genes, CTO bei Trend Micro. (Bild: Trend Micro)
Raimund Genes, CTO bei Trend Micro, ist über die Pläne des BND entsetzt, Wissen zu Sicherheitslücken anzukaufen. (Bild: Trend Micro)

“Als ich von den Plänen erfahren habe war ich war ziemlich entsetzt, dass das in Deutschland möglich ist”, so Genes. Den CTO treiben dabei nicht nur moralische Bedenken um. Er befürchtet auch, dass die Arbeit seines Unternehmens und der Mitbewerber dadurch weiter erschwert wird: “Wir haben jetzt nicht mehr nur den Untergrund, der die Preise hoch treibt, sondern auch staatliche Stellen, die mit Steuergeldern fleißig mitbieten.”

Wie Anfang November bekannt geworden war, steht dem BND bis 2020 für den Ankauf von Zero-Day-Lücken ein Budget von 4,5 Millionen Euro zur Verfügung. Mit dem so erworbenen Wissen möchte der Geheimdienst beispielsweise die für den Datenverkehr zwischen Browsern und Servern eingesetzte SSL-Verschlüsselung knacken.

Dem “Spiegel” zufolge will der BND Informationen über Schwachstellen auch auf dem grauen Markt beschaffen. Dazu gehört etwa die französische Firma Vupen, von der bekannt ist, dass sie Informationen über Zero-Day-Lücken an den US-Auslandsgeheimdienst National Security Agency (NSA) verkauft hat. Sie offeriert laut Website des auch Lösungen zum Eindringen in IT-Systeme, die es “Regierungsbehörden erlauben, ihre offensiven Cyber-Missionen durchzusetzen”. Vupen sichert aber immerhin zu, sein Wissen nur an Behörden in Staaten zu verkaufen, für die das aus Sicht der französischen Gesetze zulässig ist. Andere Firmen sind hier nicht so zimperlich.

bnd-logoAuch wenn 4,5 Millionen zunächst viel klingen, ist doch völlig unklar, ob sich damit in den kommenden vier Jahren die Ziele des BND überhaupt erreichen lassen. Denn schon für „gewöhnliche“, bis dato unbekannte Lücken werden in einschlägigen Foren regelmäßig zwischen 50.000 und 100.000 Dollar verlangt und bezahlt. Richtig „gute Sicherheitslücken“ die Geheimdienste auch erlauben unerkannt zu agieren, sind wesentlich teurer.

In jedem Fall liegen die auf dem Grau- oder Schwarzmarkt erzielbaren Preise deutlich über den Honoraren, die Hersteller oder Entwicklern von Software den Entdeckern zu zahlen bereit sind. Mozilla lobt für findige Sicherheitsexperten zum Beispiel bis zu 3000 Dollar aus, wer eine Lücke in Chrome findet, kann von Google dafür bis zu 7500 Dollar erhalten.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de