Staaten lassen Markt für Zero-Day-Lücken boomen
Der Markt für so genannte Zero-Days, also bisher unbekannte Sicherheitslücken, boomt - und zu den wichtigsten Abnehmern sind inzwischen Staaten geworden, berichtet die New York Times.
Bisher lief es in der Regel so, dass Sicherheitsforscher und Hacker Informationen über Software-Fehler an die jeweiligen Hersteller der Programme meldeten und diese dann behoben wurden. In den letzten Jahren wurde dieser Weg im Rahmen von Bug-Bounty-Programmen auch verstärkt mit finanziellen Anreizen versehen. Erst kürzlich schwenkte nun auch Microsoft auf diesen Weg ein und setzte gleich vergleichsweise hohe Belohnungen aus.
Allerdings dürfte dies angesichts der Entwicklungen auf dem Schwarzmarkt für Exploit-Informationen eher ein Tropfen auf den heißen Stein sein. Denn längst stehen die Software-Firmen hier nicht nur in Konkurrenz zu zahlungswilligen Kriminellen, die Sicherheitslücken für ihr Treiben nutzen wollen. Immer stärker greifen hier auch deutlich zahlungskräftigere Staaten und ihre Auftragnehmer zu.
"Die Regierungen kommen zunehmend zu dem Schluss: 'Um mein Land am besten zu schützen, muss ich Schwachstellen in anderen Ländern finden'", zitierte die Zeitung Howard Schmidt, einen ehemaligen Computersicherheits-Koordinator des US-Präsidialamtes.
Die staatlichen Stellen haben großes Interesse an Schwachstellen - denn diese ermöglichen einen unerkannten und schnellen Zugriff auf Computer. Sie bilden sowohl die Grundlage für Spionage-Aktionen gegen andere Länder als auch für die so genannten Staatstrojaner zur Überwachung bestimmter Bürger. Angesichts der Dimensionen der aktuell bekannt werdenden Überwachungsprogramme der Geheimdienste kann man ein Gefühl dafür bekommen, wie viel einem Staat Informationen über eine Sicherheitslücke wert sein müssen, von der noch kein anderer Kenntnis hat.
Während man als Entdecker eines entsprechenden Bugs vor zehn Jahren maximal auf eine ehrenvolle Erwähnung in den Release-Notes eines Patches oder vielleicht auf ein T-Shirt hoffen konnte, ist laut dem Bericht in der Szene inzwischen ein regelrechter Goldrausch ausgebrochen. Denn es fließen teilweise recht hohe Summen. In einigen Fällen bildet die Suche nach Sicherheitslücken und der Verkauf entsprechender Informationen inzwischen die Geschäftsgrundlage ganzer Firmen, die dann höchstbietend in alle Welt verkaufen. Israel, Großbritannien, Russland, Indien und Brasilien sollen zu den größten Kunden gehören, aber auch Nordkorea oder Geheimdienste aus dem arabischen Raum schlagen hier zu.
Auch die Geschäfte werden dabei immer differenzierter: Es geht inzwischen oft nicht mehr um eine feste Summe, sondern die Sicherheitsexperten erhalten Boni für jeden Monat, in dem das Wissen über den Bug exklusiv bleibt. Und Broker vermitteln entsprechende Deals gegen eine prozentuale Provision.
Allerdings dürfte dies angesichts der Entwicklungen auf dem Schwarzmarkt für Exploit-Informationen eher ein Tropfen auf den heißen Stein sein. Denn längst stehen die Software-Firmen hier nicht nur in Konkurrenz zu zahlungswilligen Kriminellen, die Sicherheitslücken für ihr Treiben nutzen wollen. Immer stärker greifen hier auch deutlich zahlungskräftigere Staaten und ihre Auftragnehmer zu.
"Die Regierungen kommen zunehmend zu dem Schluss: 'Um mein Land am besten zu schützen, muss ich Schwachstellen in anderen Ländern finden'", zitierte die Zeitung Howard Schmidt, einen ehemaligen Computersicherheits-Koordinator des US-Präsidialamtes.
Die staatlichen Stellen haben großes Interesse an Schwachstellen - denn diese ermöglichen einen unerkannten und schnellen Zugriff auf Computer. Sie bilden sowohl die Grundlage für Spionage-Aktionen gegen andere Länder als auch für die so genannten Staatstrojaner zur Überwachung bestimmter Bürger. Angesichts der Dimensionen der aktuell bekannt werdenden Überwachungsprogramme der Geheimdienste kann man ein Gefühl dafür bekommen, wie viel einem Staat Informationen über eine Sicherheitslücke wert sein müssen, von der noch kein anderer Kenntnis hat.
Während man als Entdecker eines entsprechenden Bugs vor zehn Jahren maximal auf eine ehrenvolle Erwähnung in den Release-Notes eines Patches oder vielleicht auf ein T-Shirt hoffen konnte, ist laut dem Bericht in der Szene inzwischen ein regelrechter Goldrausch ausgebrochen. Denn es fließen teilweise recht hohe Summen. In einigen Fällen bildet die Suche nach Sicherheitslücken und der Verkauf entsprechender Informationen inzwischen die Geschäftsgrundlage ganzer Firmen, die dann höchstbietend in alle Welt verkaufen. Israel, Großbritannien, Russland, Indien und Brasilien sollen zu den größten Kunden gehören, aber auch Nordkorea oder Geheimdienste aus dem arabischen Raum schlagen hier zu.
Auch die Geschäfte werden dabei immer differenzierter: Es geht inzwischen oft nicht mehr um eine feste Summe, sondern die Sicherheitsexperten erhalten Boni für jeden Monat, in dem das Wissen über den Bug exklusiv bleibt. Und Broker vermitteln entsprechende Deals gegen eine prozentuale Provision.
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen