Hintertürchen

Deutscher BND will Sicherheitslücken kaufen

(Bild: Screenshot bnd.bund.de)

Der deutsche Bundesnachrichtendienst beabsichtigt nach Informationen des Nachrichtenmagazins "Spiegel", künftig auf dem Schwarzmarkt sogenannte Zero-Day-Exploits, also unveröffentlichte und unbehobene Sicherheitslücken in Software, aufzukaufen, um diese für Angriffe auf Computersysteme zu benutzen. Der Chaos Computer Club (CCC) kritisiert die geforderte Ausnutzung von Schwachstellen als "schweren Grundrechtseingriff und als inakzeptabel".

Mit der Forderung des BND, hinterrücks in Computer eindringen zu wollen, "sollen praktisch kritische Sicherheitslücken missbraucht werden, die auch anderen Kriminellen einen Angriffspunkt bieten. Gleichzeitig wird es Bürgern und Unternehmen erschwert, sich vor technischen Angriffen auf persönliche Daten oder Geschäftsgeheimnisse zu schützen, und erleichtert zudem dritten Geheimdiensten das Ausspähen von Staats- und Betriebsgeheimnissen", kritisierte der CCC.

Nachfrage würde Schwarzmarkt anheizen
Sogenannte Zero-Day-Exploits würden auf dem ohnehin bereits von konkurrierenden Geheimdiensten finanzierten kriminellen Schwarzmarkt für sechs- bis achtstellige Euro-Beträge gehandelt. Um auf diesem Markt mitspielen zu können, müsste sich der BND mit Steuergeldern in gleicher Höhe am Bieterwettstreit beteiligen. Denn wie beim Handel mit Drogen oder Waffen regle auch bei Zero-Day-Exploits die Nachfrage das Angebot.

Dirk Engling, Sprecher des CCC, warnte: "Wenn auch deutsche Geheimdienste diesen Schwarzmarkt mit unseren Steuergeldern noch anheizten, würde das erhebliche Folgekosten für die Wirtschaft haben, die schon heute kaum hinterherkommt, ihre technische Infrastruktur gegen Angriffe zu verteidigen."

Der Anreiz würde weiter steigen, aufgespürte Sicherheitslücken im Geheimen zu handeln bzw. gezielt vermeintlich harmlose Fehler in kritische Softwarekomponenten einzubauen und diese dann nach einiger Zeit den Diensten und ihren Partnerfirmen zu verkaufen.

"Sicherheitslücken gehören geschlossen und nicht verkauft"
"Der geplante Erwerb und Handel mit Sicherheitslücken durch den BND wäre nicht nur in mehrfacher Hinsicht rechtlich fragwürdig, sondern ist auch eine direkte und vorsätzliche Schädigung der deutschen Wirtschaft", so Engling: Sicherheitslücken gehörten nach der Entdeckung geschlossen und nicht verkauft und geheim gehalten so lange es irgendwie geht.

Club fordert Offenlegung von Sicherheitslücken
Der CCC fordert ein Verbot des Aufkaufs und der Verwendung von Zero-Day-Exploits durch Geheimdienste und sonstige Behörden. Statt Geld in den Schwarzmarkt zu stecken und Schaden im IT-Sektor in Kauf zu nehmen, sollten die für den Ankauf vorgesehenen Mittel "in eine gute personelle und materielle Ausstattung für Auditierungen von auf Open-Source-basierender Software fließen", so der Verein. Behörden und Unternehmen sollten zudem verpflichtet werden, bekannt gewordene kritische Sicherheitslücken zu veröffentlichen.