BND will Zero Day-Lücken vor Nutzern verheimlichen und selbst nutzen
Auch der Bundesnachrichtendienst (BND) will zukünftig stärker die Methoden von Kriminellen verwenden, um den Datenverkehr im Internet besser ausspähen zu können. Millionen sollen in den Erwerb von Zero Day-Exploits für verschiedene Sicherheitslücken investiert werden.
Das Ziel besteht hier unter anderem darin, die Verschlüsselung von SSL-Verbindungen schneller brechen zu können, berichtete das Nachrichtenmagazin Der Spiegel in seiner heutigen Ausgabe. Bis zum Jahr 2020 will der Geheimdienst etwa 4,5 Millionen Euro in seinem Etat zur Seite stellen, um Exploits und Werkzeuge auf dem so genannten grauen Markt einzukaufen.
Bei den Zero Day-Schwachstellen handelt es sich um Fehler in Programmen, über die bisher noch keine Informationen öffentlich bekannt sind. Vor allem Kriminelle haben natürlich ein reges Interesse an entsprechendem Wissen, da sie hier davon ausgehen können, dass die Schutz-Systeme noch nicht auf Angriffe auf diesem Weg eingestellt sind und die Schwachstelle auch noch weit verbreitet ist, da es noch keinen Patch gibt. Die Software-Hersteller haben mit ihren Bug Bounty-Programmen auf den zunehmenden Handel mit solchen Sicherheitslücken reagiert und versuchen so, Sicherheitsforscher davon abzubringen, in dunklen Kanälen Geld zu machen, statt mit ihrem Fund der Allgemeinheit zu helfen.
Aber nicht nur von Kriminellen, auch vom US-Geheimdienst NSA ist bekannt, dass er Zero Days nutzt, um Systeme auszuspionieren. In Deutschland ist die Arbeit mit entsprechenden Informationen ebenfalls nicht gänzlich unbekannt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilte auf Anfrage mit, es habe "bis September 2014" einen Vertrag mit der französischen Firma Vupen unterhalten. Sie gilt als Weltmarktführer für Software-Schwachstellen.
Das BSI nutzte die Informationen, die es auf diesem Weg erhielt, allerdings, um rechtzeitig über Gefahren informiert zu sein. Sie hätten "ausschließlich dem Schutz der Regierungsnetze" gedient, hieß es. Der BND will die Zero Days hingegen offensiv einsetzen. Damit würde aber eine Entscheidung getroffen, die zusätzliche Probleme mit sich bringt. Infografik: Shellshock
"Den Markt für Schwachstellen zu unterstützen, ist aus staatlicher Sicht eine extrem schlechte Idee", erklärte Michael Waidner, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie. Denn das Zurückhalten von Informationen über eine Sicherheitslücke zu eigenem Interesse läuft dem entgegen, was eigentlich die Aufgabe des BND sein sollte: Den Schutz des Staates und seiner Bürger. Aus purem Eigeninteresse würde man hier die Nutzer, Behörden und Unternehmen im Land einem Risiko aussetzen, da niemand wissen kann, wer die fraglichen Informationen noch gekauft hat. Um letztlich vielleicht einige SSL-Verbindungen belauschen zu können, würde der BND damit die Arbeit an einem Patch verhindern, der vielleicht den Diebstahl großer Geldbeträge hätte verhindern können.
Zum Thema: Facebook & Microsoft: wollen ein Bug Bounty-Programm fürs ganze Internet
Bei den Zero Day-Schwachstellen handelt es sich um Fehler in Programmen, über die bisher noch keine Informationen öffentlich bekannt sind. Vor allem Kriminelle haben natürlich ein reges Interesse an entsprechendem Wissen, da sie hier davon ausgehen können, dass die Schutz-Systeme noch nicht auf Angriffe auf diesem Weg eingestellt sind und die Schwachstelle auch noch weit verbreitet ist, da es noch keinen Patch gibt. Die Software-Hersteller haben mit ihren Bug Bounty-Programmen auf den zunehmenden Handel mit solchen Sicherheitslücken reagiert und versuchen so, Sicherheitsforscher davon abzubringen, in dunklen Kanälen Geld zu machen, statt mit ihrem Fund der Allgemeinheit zu helfen.
Aber nicht nur von Kriminellen, auch vom US-Geheimdienst NSA ist bekannt, dass er Zero Days nutzt, um Systeme auszuspionieren. In Deutschland ist die Arbeit mit entsprechenden Informationen ebenfalls nicht gänzlich unbekannt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilte auf Anfrage mit, es habe "bis September 2014" einen Vertrag mit der französischen Firma Vupen unterhalten. Sie gilt als Weltmarktführer für Software-Schwachstellen.
Das BSI nutzte die Informationen, die es auf diesem Weg erhielt, allerdings, um rechtzeitig über Gefahren informiert zu sein. Sie hätten "ausschließlich dem Schutz der Regierungsnetze" gedient, hieß es. Der BND will die Zero Days hingegen offensiv einsetzen. Damit würde aber eine Entscheidung getroffen, die zusätzliche Probleme mit sich bringt. Infografik: Shellshock
"Den Markt für Schwachstellen zu unterstützen, ist aus staatlicher Sicht eine extrem schlechte Idee", erklärte Michael Waidner, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie. Denn das Zurückhalten von Informationen über eine Sicherheitslücke zu eigenem Interesse läuft dem entgegen, was eigentlich die Aufgabe des BND sein sollte: Den Schutz des Staates und seiner Bürger. Aus purem Eigeninteresse würde man hier die Nutzer, Behörden und Unternehmen im Land einem Risiko aussetzen, da niemand wissen kann, wer die fraglichen Informationen noch gekauft hat. Um letztlich vielleicht einige SSL-Verbindungen belauschen zu können, würde der BND damit die Arbeit an einem Patch verhindern, der vielleicht den Diebstahl großer Geldbeträge hätte verhindern können.
Zum Thema: Facebook & Microsoft: wollen ein Bug Bounty-Programm fürs ganze Internet
Thema:
Neueste Downloads
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
Forum
-
Home Assistant OS 18.0 – Endlich wird die Basis richtig aufgeräumt
d-hubs - Gestern 10:54 Uhr -
Erweiterung Post-it für Firefox oder Chrome
Maik1000 - Vorgestern 13:50 Uhr -
oSC Nürnberg 25.–27. Juni - das OpenSuse-Meeting
d-hubs - 20.06. 13:40 Uhr -
Die allerneueste Version, TrueNAS 26.0.0-BETA.2
d-hubs - 19.06. 14:50 Uhr -
Wie kann ich die Untertitel einem Video hinzufügen?
Rizo - 19.06. 11:14 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen