Categories: E-GovernmentPolitik

BND-Aufkauf von Sicherheitslücken – Trend Micro prüft Klage

Der IT-Sicherheitsanbieter Trend Micro prüft derzeit sowohl ob überhaupt – und wenn ja wie – rechtliche Schritte möglich sind, um gegen die Pläne des Bundesnachrichtendienstes (BND) vorzugehen, der für seine Arbeit Wissen über Sicherheitslücken ankaufen will. Das hat Raimund Genes, CTO bei Trend Micro, gestern Abend während einer Veranstaltung im Presseclub München erklärt. Als Grundlage einer möglichen Klage könnte Paragraf 202c des Strafgesetzbuches, der sogenannte “Hackerparagraf” dienen, der das “Vorbereiten des Ausspähens und Abfangens von Daten” unter Strafe stellt. Eine Frage, die zu prüfen ist, ist sicherlich, inwieweit sich der BND auch hier im Rahmen der Gesetze bewegen muss oder ob sie für ihn nicht gelten.

Raimund Genes, CTO bei Trend Micro, ist über die Pläne des BND entsetzt, Wissen zu Sicherheitslücken anzukaufen. (Bild: Trend Micro)

“Als ich von den Plänen erfahren habe war ich war ziemlich entsetzt, dass das in Deutschland möglich ist”, so Genes. Den CTO treiben dabei nicht nur moralische Bedenken um. Er befürchtet auch, dass die Arbeit seines Unternehmens und der Mitbewerber dadurch weiter erschwert wird: “Wir haben jetzt nicht mehr nur den Untergrund, der die Preise hoch treibt, sondern auch staatliche Stellen, die mit Steuergeldern fleißig mitbieten.”

Wie Anfang November bekannt geworden war, steht dem BND bis 2020 für den Ankauf von Zero-Day-Lücken ein Budget von 4,5 Millionen Euro zur Verfügung. Mit dem so erworbenen Wissen möchte der Geheimdienst beispielsweise die für den Datenverkehr zwischen Browsern und Servern eingesetzte SSL-Verschlüsselung knacken.

Dem “Spiegel” zufolge will der BND Informationen über Schwachstellen auch auf dem grauen Markt beschaffen. Dazu gehört etwa die französische Firma Vupen, von der bekannt ist, dass sie Informationen über Zero-Day-Lücken an den US-Auslandsgeheimdienst National Security Agency (NSA) verkauft hat. Sie offeriert laut Website des auch Lösungen zum Eindringen in IT-Systeme, die es “Regierungsbehörden erlauben, ihre offensiven Cyber-Missionen durchzusetzen”. Vupen sichert aber immerhin zu, sein Wissen nur an Behörden in Staaten zu verkaufen, für die das aus Sicht der französischen Gesetze zulässig ist. Andere Firmen sind hier nicht so zimperlich.

Auch wenn 4,5 Millionen zunächst viel klingen, ist doch völlig unklar, ob sich damit in den kommenden vier Jahren die Ziele des BND überhaupt erreichen lassen. Denn schon für „gewöhnliche“, bis dato unbekannte Lücken werden in einschlägigen Foren regelmäßig zwischen 50.000 und 100.000 Dollar verlangt und bezahlt. Richtig „gute Sicherheitslücken“ die Geheimdienste auch erlauben unerkannt zu agieren, sind wesentlich teurer.

In jedem Fall liegen die auf dem Grau- oder Schwarzmarkt erzielbaren Preise deutlich über den Honoraren, die Hersteller oder Entwicklern von Software den Entdeckern zu zahlen bereit sind. Mozilla lobt für findige Sicherheitsexperten zum Beispiel bis zu 3000 Dollar aus, wer eine Lücke in Chrome findet, kann von Google dafür bis zu 7500 Dollar erhalten.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Redaktion

View Comments

  • Er DARF es nicht nur - es sollte auch SEINE AUFGABE sein, derartige Gefahren aktiv aufzuspüren. Allerdings nicht, um sie selbst im geheimen für sich zu verwenden, sondern um seiner eigentlicuhen Aufageb nachzukommen - dem Schutz der bevölkerung vor kriminellen Übergriffen. D.h. die beschafften Sicherheitsinformationen sollten über eine fixe, transparente Infrastruktur direkt dem Bürger zugute kommen - d.h. dieser sollte sich über diese jederzeit und aktuell informieren können.

    Maximal eine kurze "Schonfrist" von wenigen Stunden o.ä. ist in Fällen akzeptabel, wo Patches zu schaffen sind - in der lediglich die Entwickler / Hersteller der betroffenen Software / Produkte zwecks Schaffung eines Patches informiert werden (wie dies bei Open Source Produkten teils üblich ist) - diese aber wiederum unverzüglich!

    Es kann nicht sein, das Dienste sich mittels Steuergeld (also unserem...) Informaitonsvorteile beschaffen, die nicht direkt und im vollen Umfang dem Bürger nutzbar gemacht werden!

Recent Posts

EU steht vor Schicksalsfrage beim Datenschutz

Mit einer neuen Initiative versuchen die USA bereits zum dritten Mal ein Datenaustauschabkommen mit der…

20 Minuten ago

Credential-Stuffing-Angriff auf PayPal verunsichert

Wie sicher sind mein Geld und meine Daten in der digitalen Welt, wenn so etwas…

39 Minuten ago

Kommentar: Ransomware-Gruppen unter Druck

Immer weniger Unternehmen können und wollen das geforderte Lösegeld der Ransomware-Angreifer bezahlen, sagt Chris Dobrec…

2 Stunden ago

Marc Fischer leitet Deutschland-Geschäft von HPE

Er folgt ab 1.2.2023 auf Johannes Koch, der die Leitung der neu geschaffenen HPE-Region Zentraleuropa…

2 Stunden ago

Junge Beschäftigte glauben: ChatGPT verdoppelt Produktivität

ChatGPT-Studie zeigt: 26 Prozent der Arbeitgeber im IT-Sektor planen, ihre Teams zu verkleinern.

3 Stunden ago

Ein Interview mit Chat GPT zu KI und Cybersecurity

Chat GPT rät: "Notfallpläne sollten vorbereitet sein und die Mitarbeiter sollten geschult werden, um auf…

2 Tagen ago