Nachdem gestern bekannt wurde, dass der Bundesnachrichtendienst auf...
Auch der BND will wie gewöhnliche Kriminelle unter der Hand auf dem Schwarzmarkt kaufen – CC BY-SA 3.0 via wikimedia/V.Vizu
Nachdem gestern bekannt wurde, dass der Bundesnachrichtendienst auf dem Schwarzmarkt Zero-Days-Exploits ankaufen will, um den Wissensvorteil um die verborgenen Sicherheitslücken zum Eindringen in fremde Rechner und Netzwerke zu nutzen, hat der Chaos Computer Club eine Stellungnahme veröffentlicht, die derartige Grundrechtseingriffe ablehnt.
Mit der unverhohlenen geheimdienstlichen Forderung, hinterrücks in Computer eindringen zu wollen, sollen praktisch kritische Sicherheitslücken mißbraucht werden, die auch anderen Kriminellen einen Angriffspunkt bieten. Gleichzeitig wird es Bürgern und Unternehmen erschwert, sich vor technischen Angriffen auf persönliche Daten oder Geschäftsgeheimnisse zu schützen und erleichtert zudem dritten Geheimdiensten das Ausspähen von Staats- und Betriebsgeheimnissen.
Und genau der Punkt, dass der BND auch anderen “gewöhnlichen” Kriminellen hilft, wird oftmals unterschätzt. Zero-Days sind teuer und wenn eine deutsche Behörde mit bedeutendem Budget – von 4,5 Millionen speziell für Zero-Days war in der gestrigen Meldung die Rede – in das Preisspiel einsteigt, wird das sicherlich nicht zum Fallen des Kurses führen. Das Finden und Verkaufen könnte in Folge noch attraktiver für die Anbieter werden, so auch CCC-Sprecher Dirk Engling:
Wenn auch deutsche Geheimdienste diesen Schwarzmarkt mit unseren Steuergeldern noch anheizten, würde das erhebliche Folgekosten für die Wirtschaft haben, die schon heute kaum hinterherkommt, ihre technische Infrastruktur gegen Angriffe zu verteidigen [...] Der geplante Erwerb und Handel mit Sicherheitslücken durch den BND wäre nicht nur in mehrfacher Hinsicht rechtlich fragwürdig, sondern ist auch eine direkte und vorsätzliche Schädigung der deutschen Wirtschaft.” Sicherheitslücken gehören nach der Entdeckung geschlossen und nicht verkauft und geheimgehalten solange es irgendwie geht.
Stattdessen wäre es hilfreich und konstruktiv, an der aktiven Aufdeckung und Erkennung von Zero-Days mitzuarbeiten. Das wäre auch zum Schutz der eigenen Bürger geboten. Es wäre notwendig, transparente Sicherheitsauditierungen zu fördern und Zero-Days nicht geheim zu halten, geschweige denn in der Hoffnung von Exklusivität zu kaufen. Außerdem muss einen Mechanismus für die verantwortungsvolle Veröffentlichung von Sicherheitslücken geschaffen werden, der es den Betroffenen ermöglicht, darüber informiert zu werden, wenn Sicherheitsprobleme bestehen oder bestanden haben könnten.
Hörtipp am Rande: Wie solche “Responsible Disclosure”-Mechanismen vielleicht aussehen könnten, wird auch in der 193. Chaosradio-Sendung diskutiert.
Authors: netzpolitik.org
