IT-Sicherheit oder Unsicherheit? BSI kauft Erkenntnisse zu Sicherheitslücken von VUPEN

Das Bundesamt für Sicherheit in der Informationstechnik hatte bis vor zwei Monaten einen Vertrag mit der umstrittenen Firma VUPEN. Die Behörde bestätigte uns einen Bericht im Spiegel. Weitere Nachfragen will man aber nicht beantworten.

Sitz des BSI in Bonn. Bild: Qualle. Lizenz: Creative Commons BY-SA 3.0.

Der aktuelle Spiegel berichtet, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Vertrag mit der französischen Firma VUPEN hatte. Wir haben beim BSI nach Details gefragt und diese Antwortmail erhalten:

Bis September 2014 hat es einen Vertrag zum Schutz vor Gefährdungen (Threat Protection Program) zwischen dem BSI und dem französischen Unternehmen Vupen gegeben.

Zweck dieses Vertrages war ausschließlich der Schutz der Regierungsnetze. Das BSI hat die durch Vupen erlangten Erkenntnisse nicht an andere Behörden und Einrichtungen weitergegeben.

Erkenntnisse zu Sicherheitslücken, die öffentlich bekannt sind, auf eigenen Analysen beruhen oder im Rahmen der Zusammenarbeit von CERTs gewonnen werden, diskutiert das BSI gemäß seines gesetzlichen Auftrages regelmäßig mit den jeweiligen betroffenen Herstellern, damit diese die Sicherheitslücken kurzfristig schließen können.

Falls sich aus Sicherheitslücken eine Gefährdung für Bürger, Unternehmen oder Verwaltungseinrichtungen ergibt, so spricht das BSI gemäß seines gesetzlichen Auftrags zielgruppenspezifische oder öffentliche Warnungen aus.

VUPEN selbst beschreibt das Threat Protection Program so:

VUPEN Threat Protection Program (TPP) aims to deliver exclusive and highly technical research reports and attack detection guidance for undisclosed zero-day vulnerabilities discovered in-house by VUPEN researchers, providing timely, actionable information and guidance to help mitigate risks from unknown and critical vulnerabilities or exploits. This is a proactive approach to aid governments and corporations in making decisions in response to potential threats on a real-time basis and in advance of public disclosure, applying appropriate protective actions and maintaining a secure environment while the affected vendor is working on a patch.

Das klingt eher defensiv – und soll es auch. VUPEN verkauft darüber hinaus auch exklusive Exploits, also Software zum aktiven Ausnutzen dieser Lücken, an staatliche Stellen. Das ist teurer – und passiert wohl vor dem Verkauf der defensiven Informationen.

Es ist also möglich, dass das BSI daher tatsächlich nur versucht, Regierungsnetze vor diesen Angriffen zu schützen. Ob man das glaubt, muss – vor dem Hintergrund der Geschichte des BSI und der Glaubwürdigkeit geheimer Organisationen – jede/r selbst einschätzen.

Fakt ist aber, dass das BSI mit der finanziellen Unterstützung dieser Firmen zum Wachstum des Schwarzmarkts und damit zur Unsicherheit der IT-Infrastruktur beiträgt.

Wir haben das BSI auch gefragt, von wann bis wann der Vertrag lief, wie viel Geld dafür ausgegeben wurde und warum es den Vertrag jetzt nicht mehr gibt. Die Antwort: „zu Vertragsdetails äußern wir uns nicht.“

Den Vertrag selbst haben wir natürlich auch beantragt – mal sehen, ob das Erfolg hat.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

7 Ergänzungen

  1. Das heisst also, dass das BSI seine Erkenntnisse der Bumsregierung oder den Herstellern mitteilt, nicht aber dem Souverän (Volk), von welchem es beauftragt wurde, oder Behörden, bzw. anderen Nutzern, wie Firmen.
    Kann man mit dem ganzen Geld, das in das BSI fliesst, keine eigene Audition-Abteilung eröffnen?
    Wollte die BRD nicht ihre IT-Kompetenzen erweitern oder galt das nur für den Fall, wenn es gegen den Büger geht?

  2. Soll ich raten?
    Ein Bekanntwerden dieser Informationen würde die Sicherheit der Regierungsnetze und damit der Bundesrepublik Deutschland gefährden.

  3. > Bis September 2014 hat es einen Vertrag zum Schutz vor
    > Gefährdungen (Threat Protection Program) zwischen dem
    > BSI und dem französischen Unternehmen Vupen gegeben.

    Nur mal am Rande eine Betrachtung der Sprache:
    „Hat gegeben“ ist eine Gegenwarts-Form. Er impliziert die Beschreibung der Vergangenheit, schließt aber grammatikalisch nicht aus, dass der Vertrag auch bis heute läuft, z.B. indem er im September verlängert wurde. Denn dann müsste da ein schlichtes „gab“ stehen.

    Ich lese das Statement so, dass es einen befristeten Vertrag mit Vulpen gab, der im September verlängert wurde. Der 2. Absatz des BSI-Statements ist dann auch im Imperfekt, also abgeschlossen, und beschreibt möglicherweise den befristeten Vertrag, der eben auch durch einen Anschluss-Vertrag ungültig geworden sein kann.

    Das hier die Zeiten gemischt wurden sehe ich eher als Hinweis auf eine Verschleierung – dass man versucht nicht zu lügen und dennoch impliziert, mit Vulpen keinen Vertrag zu haben.

    1. Dazu haben wir mal nachgefragt:

      netzpolitik.org: Gibt es aktuell einen Vertrag mit VUPEN?

      BSI: der Vertrag mit Vupen ist im Spetember 2014 ausgelaufen, insofern gibt es aktuell keinen Vertrag mit diesem Unternehmen.

  4. Verstehe das nicht:
    gestern sagt Spiegel, dass der BND 0days kaufen will.
    Jetzt les‘ ich, dass das BSI 0days gekauft hat.
    Und das ausgerechnet bei VUPEN.

    Haben die keine vernünftige IT-Qualitycontrol?
    Irgendein Intern hat denen doch 0days als Buzzword
    gepitcht und die wollen das jetzt!
    Die alten Hipster.
    Und wie bitte wollen die Esel dort ihre Systeme gegen die Exploits patchen?
    So mit nem Tablet, Apps aus dem Play-store und wilden gestures?

    Da kommt bestimmt monatlich jemand von VUPEN vorbei,
    geht so Matrix-mäßig ab auf einen Laptop mit air-gap, patcht den und sagt:
    der darf niemals ans Netz gehen, der ist sonst gefährdet!

    Bitte, irgendwer muss die Trottel aufhalten,
    so nen VHS-Kurs anbieten für Angestellte.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.