BND will Sicherheitslücken in Software aufkaufen: Kritik vom CCC

CCC-Hacker wollen Kauf von Sicherheitslücken durch Geheimdienst verbieten
Bild: dpa Der Bundesnachrichtendienst (BND) will wohl einem Bericht des Spiegel zufolge Informationen über Software-Sicherheitslücken - sogenannte "zero day exploits" - einkaufen. Demnach will der BND Auswertungen zu der verschlüsselten Datenübertragung im Internet machen und dafür entsprechende Werkzeuge nutzen. Solche Schwachstellen in Programmen bzw. Systemen machen sich üblicherweise Hacker zunutze, um zum Beispiel Daten zu manipulieren bzw. auszuspähen.

Um die Transportverschlüsselung SSL aufbrechen zu können, hat der Bundesnachrichtendienst einen Betrag von 4,5 Millionen Euro bis 2020 eingeplant, wie aus geheimen Dokumenten hervorgeht. Banken, Online-Netzwerke oder Shopping-Seiten verwenden SSL, um Kundendaten und Login-Informationen zu schützen. Auch die Süddeutsche Zeitung berichtete von den Plänen des BND, diese Verschlüsselung zu knacken. Der BND wolle offenbar Software-Sicherheitslücken für gezielte Spähattacken nutzen, berichteten Süddeutsche Zeitung, NDR und WDR. Demnach soll das Wissen aber auch dazu dienen, Regierungsnetze besser zu schützen.

Chaos Computer Club ist empört

CCC-Hacker wollen Kauf von Sicherheitslücken durch Geheimdienst verbieten
Bild: dpa Der Hackerverein Chaos Computer Club (CCC) reagierte empört. Er warf dem BND vor, Bürger und Unternehmen Gefahren durch Sicherheitslücken in Computerprogrammen auszusetzen. Der CCC forderte, den Kauf der Sicherheitslücken durch deutsche Behörden zu verbieten.

Diese Sicherheitslücken (zero day exploits), werden teilweise von Hackern aufgespürt und auf einem unkontrollierten Markt gehandelt. Angreifer können die Lücken unter Umständen ausnutzen, um in Computer einzudringen. Auf diese Gefahr weist schon der Name hin: "zero days" heißen so, weil Nutzer keine Zeit ("null Tage") haben, um sich vor einem Angriff zu schützen. Auch Kriminelle können die Schwachstellen entdecken und für ihre Zwecke ausnutzen.

Gefahren durch unveröffentlichte Software-Lücken

Dass der BND solche Schwachstellen angeblich aufkaufen wolle, sei "inakzeptabel", kritisierte der Chaos Computer Club. Er warf dem Nachrichtendienst vor, den Markt für Software-Fehler anzuheizen. "Der Anreiz würde weiter steigen, aufgespürte Sicherheitslücken im Geheimen zu handeln", erklärte der CCC. Auf dem Schwarzmarkt würde das Wissen um die Schwachstellen "für sechs- bis achtstellige Euro-Beträge" verkauft.

"Gleichzeitig wird es Bürgern und Unternehmen erschwert, sich vor technischen Angriffen auf persönliche Daten oder Geschäftsgeheimnisse zu schützen", betonte der Hackerverein. Sicherheitsexperten warnen immer wieder vor Gefahren durch unveröffentlichte Software-Lücken.

Fachleute werben dafür, Sicherheitslücken den Herstellern der Software mitzuteilen. Die können dann dafür sorgen, dass die Lücken gestopft werden. Unternehmen wie Google oder Microsoft schreiben Geld für die Jagd nach Schwachstellen aus. Google startete im Sommer das "Project Zero", um selbst Sicherheitslücken in Software aufzudecken.

Zusammenarbeit des BND mit Vupen bestätigt

Die Bundesregierung hat Medienberichte über die Zusammenarbeit des Bundesnachrichtendienstes (BND) mit der französischen Software-Sicherheitsfirma Vupen bestätigt. Ein Sprecher des Bundesinnenministeriums sagte in Berlin, die Erkenntnisse aus der Zusammenarbeit mit Vupen seien vor allem für den Schutz der Regierungsnetze und nicht zur Weitergabe an Dritte erworben worden. Die Zusammenarbeit mit der französischen Firma sei inzwischen beendet worden.

Regierungssprecher Steffen Seibert erklärte, Ziel der Bundesregierung sei es, die Abhängigkeit von ausländischen Dienstleistern im Bereich IT-Sicherheit weiter zu reduzieren. "Es trifft zu, dass der BND plant, seine vorhandene technische Basis zu stärken", fügte Seibert hinzu. Das zentrale Element dieser Initiative sei der Aufbau eines Frühwarnsystems für Cyber-Angriffe.

Eine der Dienstleistungen der Firma Vupen ist es, Geheimdiensten und Sicherheitsbehörden in Software entdeckte Sicherheitslücken zur Verfügung zu stellen.