BND will angeblich SSL-Verschlüsselung über Sicherheitslücken aushebeln
Der Bundesnachrichtendienst (BND) ist einem Bericht des Magazins Der Spiegel zufolge daran interessiert, Details zu Sicherheitslücken käuflich zu erwerben. Dafür soll er bis 2020 über ein Budget von rund 4,5 Millionen Euro verfügen. Mit dem so erworbenen Wissen möchte der Geheimdienst beispielsweise die für den Datenverkehr zwischen Browsern und Servern eingesetzte SSL-Verschlüsselung knacken.
Das Wissen über die dafür benötigten Zero-Day-Lücken will der BND unter anderem auf dem grauen Markt beschaffen. Den bedienen auch mehrere legale Firmen aus dem Sicherheitsbereich, für die es oft lukrativer ist, die Ergebnisse ihrer Untersuchungen an Geheimdienste zu verkaufen, als sie gegen Honorar den Herstellern oder Entwicklern der Software mitzuteilen.
Dazu gehört unter anderem die französische Firma Vupen, von der bekannt ist, dass sie Informationen über Zero-Day-Lücken an den US-Auslandsgeheimdienst National Security Agency (NSA) verkauft hat. Daraus macht es auch kein Geheimnis: Laut der Website des in Montpellier ansässigen Unternehmens gehören zum Portfolio auch Lösungen zum Eindringen in IT-Systeme, die es “Regierungsbehörden erlauben, ihre offensiven Cyber-Missionen durchzusetzen”.
Als Zero-Day-Lücken bezeichnet man Schwachstellen in Software, die von Forschern oder Hackern entdeckt wurden und für die es vom Hersteller noch keinen Patch gibt. Diese Fehler können unter Umständen benutzt werden, um sich Zugang zu Systemen zu verschaffen und Informationen zu stehlen. Oft werden sie von ihren Entdeckern vertraulich an die Hersteller der Software gemeldet, die dafür teilweise sogar eine Belohnung zahlen. Zero-Day-Lücken werden aber auch von Kriminellen – und eben Geheimdiensten – auf dem Schwarzmarkt gehandelt.
“Den Markt für Schwachstellen zu unterstützen, ist aus staatlicher Sicht eine extrem schlechte Idee”, zitiert “Der Spiegel” Michael Waidner, den Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie. Zero-Day-Lücken seien auch eine Bedrohung für die eigenen Bürger, Unternehmen und Behörden, da niemand wisse, wer Zugriff auf die Schwachstellen erhalte.
Wohl auch daher will die Europäische Union laut einem Bericht des Guardian die Ausfuhr von Spionagesoftware beschränken. Der Entwurf für eine neue Richtlinie sieht demnach vor, dass Anbieter von Spionageanwendungen künftig eine Exportgenehmigung benötigen. Derartige Software mit Technologien und Produkten auf eine Stufe gestellt werden, die nicht nur für zivile, sondern auch für militärische Zwecke genutzt werden können. Darauf stehen derzeit beispielsweise Kernkraftwerke, besonders hoch auflösende Kameras und Raketentreibstoff.
Bereits im vergangenen Jahr hatte die Organisation Reporter ohne Grenzen auf ihren Listen mit Staaten und Firmen, die sie als “Feinde des Internets” bezeichnet, mit Gamma International und Trovicor auch zwei deutsche Firmen aufgeführt. Sie lieferten an Staaten ohne rechtsstatliche Strukturen Software, mit deren Hilfe auch Daten gesammelt würden, die zur Gefangennahme von Aktivisten und Journalisten verwendet worden seien, von denen einige später auch gefoltert worden seien. Eine Sprecherin von Trovicor wies das damals gegenüber ITespresso zurück: Man halte sich an die geltenden Exportbestimmungen, zur letzendlichen Verwendung der Software müsse man den Kunden befragen.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp der Redaktion: SSL-verschlüsselte Verbindungen standen jahrelang für sicheres Online-Banking und unbedenkliches Online-Shopping. Doch das am HTTPS-Link im Browser erkennbare Protokoll wird seit Edward Snowden und der NSA-Affäre verstärkt in Frage gestellt. ITespresso ist daher der Frage nachgegangen, wie sicher das Verschlüsselungsprotokoll noch ist.