Handel mit Sicherheitslücken und Exploits: Für den Profit von ein paar wenigen bleiben alle Verbraucher unsicher

Am weltweiten Handel mit Sicherheitslücken und Exploits nehmen auch immer mehr staatliche Institutionen teil. Christopher Soghoian, Forscher und Aktivist, kritisiert diese Entwicklung in einem Podcast. Wenn nur wenige dieses Wissen exklusiv haben, wird auch der Hersteller von Software nicht über die Lücken informiert – somit bleiben alle unsicher.

Vupen Security bei der Pwn2Own 2012. Bild: Dan Goodin, Ars Technica.

Wir haben schon öfters auf den digitalen Waffenhandel mit Sicherheitslücken und Exploits hingewiesen. Über diese eher verborgene Szene berichtet nun Christopher Soghoian, seit neuestem „Principal Technologist“ und „Senior Policy Analyst“ bei der Amerikanischen Bürgerrechtsunion (ACLU), in einem Podcast mit Kaspersky threatpost.

Darin berichtet er unter anderem, dass staatliche Institutionen miteinander um Lücken und Exploits konkurrieren und gegenseitig den Preis hochtreiben. Es liegt im Wesen dieser Sicherheitslücken, dass man das Wissen um ihre Existenz und Funktionalität möglichst exklusiv will, damit man die Lücke möglichst lange benutzen kann. Daher tauschen selbst amerikanische Geheimdienste untereinander diese Informationen nur selten, mit normalen Polizeibehörden schon gar nicht. All diese Institutionen sind daher im Konkurrenzkampf miteinander. Und da, abgesehen von der National Security Agency (NSA), nur wenige Stellen diese Lücken und Exploits selbst entwickeln, konkurrieren viele auf dem freien (Schwarz-)Markt miteinander um die angebotenen Exploits.

Verlierer sind dabei immer die Verbraucher. Da die Lücken nicht geschlossen werden sollen, werden sie natürlich auch dem Hersteller verschwiegen. Das Geschäft mit den Exploits macht daher alle Anwender dieser Software unsicherer. Soghoian berichtet sogar von Sicherheitsforschern, die nach dem Liefern eines Exploits so lange monatlich weiter bezahlt werden, wie die Lücke weiterhin unentdeckt und damit ausnutzbar bleibt. So schafft der Markt Anreize für Unsicherheit.

Verbote wie der Hacker-Paragraf bringen jedoch nichts. Das Problem ist nicht das Finden von Sicherheitslücken, sondern der Handel damit. Um überhaupt einen fundierten Überblick über diesen digitalen Waffenhandel zu bekommen, wäre eine Registrierung und Veröffentlichung von Verkaufsgeschäften ein erster Schritt.

Zudem sollten auch Hersteller von Software diesen zweifelhaften Markt anerkennen und sich dagegen aussprechen. Die Security-Abteilungen der großen Software-Firmen wissen darüber genau Bescheid. Doch auch die Chefs, die Eric Schmidts, Steve Ballmers und Tim Cooks sollten öffentlich kritisieren, dass eine Untergrund-Ökonomie mit der Unsicherheit ihrer Kunden Geld verdient. Soghoian schlägt zudem vor, dass die großen Firmen die Händler dieser digitalen Waffen auch einfach verklagen könnten. Microsoft hat schon oft Verantwortliche von Malware, Viren und Botnets verklagt, warum nicht auch mal Vupen? Die haben nämlich den neuen Internet Explorer 10 auf Windows 8 aufgemacht – und verkaufen den Exploit nun meistbietend.

Auch der Podcast Alternativlos Folge 25 zum Cyberwar behandelt das Thema mit Felix „FX“ Lindner.

3 Kommentare
Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende. Spenden