Security

CCC-Hacker: Kauf von Sicherheitslücken durch BND verbieten

Laut "Spiegel Online" will der Bundesnachrichtendienst (BND) mit Millionenbeträgen Informationen zu Sicherheitslücken in Software kaufen, um die SSL-Verschlüsselung zu knacken. Der Chaos Computer Club reagierte am Montag empört und forderte ein Verbot des Kaufs von Infos über Sicherheitslücken.

10.11.2014, 12:31 Uhr (Quelle: DPA)
Datenübertragung© envfx / Fotolia.com

Einem Medienbericht zufolge will der Bundesnachrichtendienst (BND) Sicherheitslücken in Software aufkaufen. Das Nachrichtenmagazin "Der Spiegel" berichtete, dass der BND in den nächsten Jahre 4,5 Millionen Euro eingeplant habe, um bisher unbekannte Sicherheitslücken in Software zu kaufen. Das gehe aus geheimen Unterlagen hervor.

Chaos Computer Club kritisiert BND-Pläne

Die Lücken wolle der BND nutzen, um die verbreitete Verschlüsselung SSL auszuhebeln. Banken, Online-Netzwerke oder Shopping-Seiten verwenden SSL, um Kundendaten und Login-Informationen zu schützen. Auch die "Süddeutsche Zeitung" berichtete von den Plänen des BND, diese Verschlüsselung zu knacken. Der BND wolle offenbar Software-Sicherheitslücken für gezielte Spähattacken nutzen, berichteten "Süddeutsche Zeitung", NDR und WDR. Demnach soll das Wissen aber auch dazu dienen, Regierungsnetze besser zu schützen.

Der Hackerverein Chaos Computer Club (CCC) reagierte empört. Er warf dem BND vor, Bürger und Unternehmen Gefahren durch Sicherheitslücken in Computerprogrammen auszusetzen. Der CCC forderte, den Kauf der Sicherheitslücken durch deutsche Behörden zu verbieten.

CCC: Kauf von Schwachstellen durch BND ist "inakzeptabel"

Diese Sicherheitslücken, genannt "zero day exploits", werden teilweise von Hackern aufgespürt und auf einem unkontrollierten Markt gehandelt. Angreifer können die Lücken unter Umständen ausnutzen, um in Computer einzudringen. Auf diese Gefahr weist schon der Name hin: "zero days" heißen so, weil Nutzer keine Zeit ("null Tage") haben, um sich vor einem Angriff zu schützen. Auch Kriminelle können die Schwachstellen entdecken und für ihre Zwecke ausnutzen.

Dass der BND solche Schwachstellen angeblich aufkaufen wolle, sei "inakzeptabel", kritisierte der Chaos Computer Club am Montag. Er warf dem Nachrichtendienst vor, den Markt für Software-Fehler anzuheizen. "Der Anreiz würde weiter steigen, aufgespürte Sicherheitslücken im Geheimen zu handeln", erklärte der CCC. Auf dem Schwarzmarkt würde das Wissen um die Schwachstellen "für sechs- bis achtstellige Euro-Beträge" verkauft.

Schutz vor Angriffen auf persönliche Daten wird erschwert

"Gleichzeitig wird es Bürgern und Unternehmen erschwert, sich vor technischen Angriffen auf persönliche Daten oder Geschäftsgeheimnisse zu schützen", betonte der Hackerverein. Sicherheitsexperten warnen immer wieder vor Gefahren durch unveröffentlichte Software-Lücken.

Fachleute werben dafür, Sicherheitslücken den Herstellern der Software mitzuteilen. Die können dann dafür sorgen, dass die Lücken gestopft werden. Unternehmen wie Google oder Microsoft schreiben Geld für die Jagd nach Schwachstellen aus. Google startete im Sommer das "Project Zero", um selbst Sicherheitslücken in Software aufzudecken.

(Jörg Schamberg)

Kommentieren Forum
Zum Seitenanfang