BND will Zero Day-Lücken vor Nutzern verheimlichen und selbst nutzen

Sicherheit, Security, Verschlüsselung, schloss, Heartbleed, Tunnel Bildquelle: Softonic
Auch der Bundesnachrichtendienst (BND) will zukünftig stärker die Methoden von Kriminellen verwenden, um den Datenverkehr im Internet besser ausspähen zu können. Millionen sollen in den Erwerb von Zero Day-Exploits für verschiedene Sicherheitslücken investiert werden.
Das Ziel besteht hier unter anderem darin, die Verschlüsselung von SSL-Verbindungen schneller brechen zu können, berichtete das Nachrichtenmagazin Der Spiegel in seiner heutigen Ausgabe. Bis zum Jahr 2020 will der Geheimdienst etwa 4,5 Millionen Euro in seinem Etat zur Seite stellen, um Exploits und Werkzeuge auf dem so genannten grauen Markt einzukaufen.

Bei den Zero Day-Schwachstellen handelt es sich um Fehler in Programmen, über die bisher noch keine Informationen öffentlich bekannt sind. Vor allem Kriminelle haben natürlich ein reges Interesse an entsprechendem Wissen, da sie hier davon ausgehen können, dass die Schutz-Systeme noch nicht auf Angriffe auf diesem Weg eingestellt sind und die Schwachstelle auch noch weit verbreitet ist, da es noch keinen Patch gibt. Die Software-Hersteller haben mit ihren Bug Bounty-Programmen auf den zunehmenden Handel mit solchen Sicherheitslücken reagiert und versuchen so, Sicherheitsforscher davon abzubringen, in dunklen Kanälen Geld zu machen, statt mit ihrem Fund der Allgemeinheit zu helfen.

Aber nicht nur von Kriminellen, auch vom US-Geheimdienst NSA ist bekannt, dass er Zero Days nutzt, um Systeme auszuspionieren. In Deutschland ist die Arbeit mit entsprechenden Informationen ebenfalls nicht gänzlich unbekannt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilte auf Anfrage mit, es habe "bis September 2014" einen Vertrag mit der französischen Firma Vupen unterhalten. Sie gilt als Weltmarktführer für Software-Schwachstellen.

Das BSI nutzte die Informationen, die es auf diesem Weg erhielt, allerdings, um rechtzeitig über Gefahren informiert zu sein. Sie hätten "ausschließlich dem Schutz der Regierungsnetze" gedient, hieß es. Der BND will die Zero Days hingegen offensiv einsetzen. Damit würde aber eine Entscheidung getroffen, die zusätzliche Probleme mit sich bringt. Infografik: ShellshockShellshock "Den Markt für Schwachstellen zu unterstützen, ist aus staatlicher Sicht eine extrem schlechte Idee", erklärte Michael Waidner, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie. Denn das Zurückhalten von Informationen über eine Sicherheitslücke zu eigenem Interesse läuft dem entgegen, was eigentlich die Aufgabe des BND sein sollte: Den Schutz des Staates und seiner Bürger. Aus purem Eigeninteresse würde man hier die Nutzer, Behörden und Unternehmen im Land einem Risiko aussetzen, da niemand wissen kann, wer die fraglichen Informationen noch gekauft hat. Um letztlich vielleicht einige SSL-Verbindungen belauschen zu können, würde der BND damit die Arbeit an einem Patch verhindern, der vielleicht den Diebstahl großer Geldbeträge hätte verhindern können.

Zum Thema: Facebook & Microsoft: wollen ein Bug Bounty-Programm fürs ganze Internet Verschlüsselung, Ssl, Key Verschlüsselung, Ssl, Key Public Domain
Diese Nachricht empfehlen
Kommentieren47
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 07:30 UhrOlight M3XS-UT Kit Taschenlampe mit 1200 Lumen Cree XP-L Hi LED
Olight M3XS-UT Kit Taschenlampe mit 1200 Lumen Cree XP-L Hi LED
Original Amazon-Preis
149,94
Im Preisvergleich ab
?
Blitzangebot-Preis
125,95
Ersparnis zu Amazon 0% oder 23,99

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden