Die BND Pläne zu Zero-Day Exploits – gefährlich oder sinnvoll?
In den USA schon gängige Praxis, hierzulande ein kleiner Skandal: Der BND plant, sogenannte Zero-Day Exploits einzukaufen und selbst zu nutzen. Sie sollen vor allem dazu verwendet werden, um Verschlüsselungen wie SSL zu knacken und damit „auf Augenhöhe“ mit anderen westlichen Nachrichtendiensten arbeiten zu können, so BND BND-Präsident Gerhard Schindler.
Bei Zero Day Exploits handelt es sich um Schwachstellen in Software, die der Öffentlichkeit noch nicht bekannt sind. Auch liegen für in der Regel noch keine Patches oder Lösungen vor. Die Schutz-Systeme der meisten Computer sind also auf diese Sicherheitslücken nicht vorbereitet und so ist Kriminellen, und jetzt auch dem BND, Tür und Tor geöffnet, diese zu nutzen. Ein bekanntes Beispiel für so einen Zero Day Exploit war die Malware Stuxnet, die 2010 iranische Rechner infizierte und damit nachhaltig das Atomprogramm im Iran störte. Wie der Spiegel berichtet, sollen in den nächsten fünf Jahren 4,5 Millionen Euro für den Ankauf von Zero Day Exploits zur Verfügung stehen. Damit sollen vor allen SSL Verbindungen umgangen werden – wichtig für die Verschlüsselungen von E-Mail Verkehr, Online-Einkäufen und Bankgeschäften.
Seit Jahren versuchen Software-Hersteller mit Bug-Bounty Programmen, sozusagen ein Kopfgeld auf gefundene Schwachstellen, Sicherheitsforscher und auch private Hacker davon zu überzeugen, ihre Entdeckungen zu veröffentlichen, anstatt damit schnelles Geld im Cyber Untergrund zu machen. Da die BND Pläne nicht nur den Ankauf, sondern auch die Verheimlichung solcher Sicherheitslücken vorsehen, stehen Kritiker schon auf dem Plan. Michael Weidner ist Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie und nennt den Plan, Märkte für Schwachstellen staatlich zu nutzen „eine extrem schlechte Idee„. Ein solches Verhalten widerspricht der eigentlichen Aufgabe des BND: Nämlich die Bürger und den Staat zu schützen. Gerade die Zurückhaltung von Informationen, setzt das ganze Land einem nicht bekannten Risiko aus. Man weiß schließlich nie, wer die Information über die Sicherheitslücken noch gekauft hat und anwendet. Und auch der Chaos Computer Club hat sich gemeldet. Pressesprecher Dirk Engling übt scharfe Kritik an den Plänen. Die Finanzierung des Schwarzmarkts mit Sicherheitslücken über Steuergelder würde „erhebliche Folgekosten für die Wirtschaft haben“. Diese hinke schließlich schon deutlich hinterher, was die IT-Sicherheit angeht. Das Geld solle lieber für die Entwicklung von sicherer Software und deren Überprüfung ausgegeben werden.