Der aktuelle Spiegel berichtet, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Vertrag mit der französischen Firma VUPEN hatte. Wir haben beim BSI nach Details gefragt und diese Antwortmail erhalten:
Bis September 2014 hat es einen Vertrag zum Schutz vor Gefährdungen (Threat Protection Program) zwischen dem BSI und dem französischen Unternehmen Vupen gegeben.
Zweck dieses Vertrages war ausschließlich der Schutz der Regierungsnetze. Das BSI hat die durch Vupen erlangten Erkenntnisse nicht an andere Behörden und Einrichtungen weitergegeben.
Erkenntnisse zu Sicherheitslücken, die öffentlich bekannt sind, auf eigenen Analysen beruhen oder im Rahmen der Zusammenarbeit von CERTs gewonnen werden, diskutiert das BSI gemäß seines gesetzlichen Auftrages regelmäßig mit den jeweiligen betroffenen Herstellern, damit diese die Sicherheitslücken kurzfristig schließen können.
Falls sich aus Sicherheitslücken eine Gefährdung für Bürger, Unternehmen oder Verwaltungseinrichtungen ergibt, so spricht das BSI gemäß seines gesetzlichen Auftrags zielgruppenspezifische oder öffentliche Warnungen aus.
VUPEN selbst beschreibt das Threat Protection Program so:
VUPEN Threat Protection Program (TPP) aims to deliver exclusive and highly technical research reports and attack detection guidance for undisclosed zero-day vulnerabilities discovered in-house by VUPEN researchers, providing timely, actionable information and guidance to help mitigate risks from unknown and critical vulnerabilities or exploits. This is a proactive approach to aid governments and corporations in making decisions in response to potential threats on a real-time basis and in advance of public disclosure, applying appropriate protective actions and maintaining a secure environment while the affected vendor is working on a patch.
Das klingt eher defensiv – und soll es auch. VUPEN verkauft darüber hinaus auch exklusive Exploits, also Software zum aktiven Ausnutzen dieser Lücken, an staatliche Stellen. Das ist teurer – und passiert wohl vor dem Verkauf der defensiven Informationen.
Es ist also möglich, dass das BSI daher tatsächlich nur versucht, Regierungsnetze vor diesen Angriffen zu schützen. Ob man das glaubt, muss – vor dem Hintergrund der Geschichte des BSI und der Glaubwürdigkeit geheimer Organisationen – jede/r selbst einschätzen.
Fakt ist aber, dass das BSI mit der finanziellen Unterstützung dieser Firmen zum Wachstum des Schwarzmarkts und damit zur Unsicherheit der IT-Infrastruktur beiträgt.
Wir haben das BSI auch gefragt, von wann bis wann der Vertrag lief, wie viel Geld dafür ausgegeben wurde und warum es den Vertrag jetzt nicht mehr gibt. Die Antwort: „zu Vertragsdetails äußern wir uns nicht.“
Den Vertrag selbst haben wir natürlich auch beantragt – mal sehen, ob das Erfolg hat.