Wir haben schon öfters auf den digitalen Waffenhandel mit Sicherheitslücken und Exploits hingewiesen. Über diese eher verborgene Szene berichtet nun Christopher Soghoian, seit neuestem „Principal Technologist“ und „Senior Policy Analyst“ bei der Amerikanischen Bürgerrechtsunion (ACLU), in einem Podcast mit Kaspersky threatpost.
Darin berichtet er unter anderem, dass staatliche Institutionen miteinander um Lücken und Exploits konkurrieren und gegenseitig den Preis hochtreiben. Es liegt im Wesen dieser Sicherheitslücken, dass man das Wissen um ihre Existenz und Funktionalität möglichst exklusiv will, damit man die Lücke möglichst lange benutzen kann. Daher tauschen selbst amerikanische Geheimdienste untereinander diese Informationen nur selten, mit normalen Polizeibehörden schon gar nicht. All diese Institutionen sind daher im Konkurrenzkampf miteinander. Und da, abgesehen von der National Security Agency (NSA), nur wenige Stellen diese Lücken und Exploits selbst entwickeln, konkurrieren viele auf dem freien (Schwarz-)Markt miteinander um die angebotenen Exploits.
Verlierer sind dabei immer die Verbraucher. Da die Lücken nicht geschlossen werden sollen, werden sie natürlich auch dem Hersteller verschwiegen. Das Geschäft mit den Exploits macht daher alle Anwender dieser Software unsicherer. Soghoian berichtet sogar von Sicherheitsforschern, die nach dem Liefern eines Exploits so lange monatlich weiter bezahlt werden, wie die Lücke weiterhin unentdeckt und damit ausnutzbar bleibt. So schafft der Markt Anreize für Unsicherheit.
Verbote wie der Hacker-Paragraf bringen jedoch nichts. Das Problem ist nicht das Finden von Sicherheitslücken, sondern der Handel damit. Um überhaupt einen fundierten Überblick über diesen digitalen Waffenhandel zu bekommen, wäre eine Registrierung und Veröffentlichung von Verkaufsgeschäften ein erster Schritt.
Zudem sollten auch Hersteller von Software diesen zweifelhaften Markt anerkennen und sich dagegen aussprechen. Die Security-Abteilungen der großen Software-Firmen wissen darüber genau Bescheid. Doch auch die Chefs, die Eric Schmidts, Steve Ballmers und Tim Cooks sollten öffentlich kritisieren, dass eine Untergrund-Ökonomie mit der Unsicherheit ihrer Kunden Geld verdient. Soghoian schlägt zudem vor, dass die großen Firmen die Händler dieser digitalen Waffen auch einfach verklagen könnten. Microsoft hat schon oft Verantwortliche von Malware, Viren und Botnets verklagt, warum nicht auch mal Vupen? Die haben nämlich den neuen Internet Explorer 10 auf Windows 8 aufgemacht – und verkaufen den Exploit nun meistbietend.
Auch der Podcast Alternativlos Folge 25 zum Cyberwar behandelt das Thema mit Felix „FX“ Lindner.
Im letzten Satz fehlt noch der Hinweis, dass es sich um den Podcast Alternativlos handelt und nicht um eine Eigenproduktion von Netzpolitik.org.
Das sollte vielleicht etwas deutlicher getrennt werden.
Oops, das war drin, ischwöre! Fixed.
Ja das Stimmt, und nach der Sicherheitsfirma Dotcomsecurity wird der Markt noch weiter ansteigen. Wer profitiert eigentlich noch außer Regierungen?
https://www.dotcomsecurity.de/2015/12/16/exploit-handel-waechst-von-jahr-zu-jahr-was-kostet-uns-das/
:(