„Schließen statt Verkaufen und Geheimhalten“ – CCC zu Sicherheitslücken-Kaufplänen des BND

CC BY-SA 3.0 via wikimedia/V.Vizu

Nachdem gestern bekannt wurde, dass der Bundesnachrichtendienst auf dem Schwarzmarkt Zero-Days-Exploits ankaufen will, um den Wissensvorteil um die verborgenen Sicherheitslücken zum Eindringen in fremde Rechner und Netzwerke zu nutzen, hat der Chaos Computer Club eine Stellungnahme veröffentlicht, die derartige Grundrechtseingriffe ablehnt.

Mit der unverhohlenen geheimdienstlichen Forderung, hinterrücks in Computer eindringen zu wollen, sollen praktisch kritische Sicherheitslücken mißbraucht werden, die auch anderen Kriminellen einen Angriffspunkt bieten. Gleichzeitig wird es Bürgern und Unternehmen erschwert, sich vor technischen Angriffen auf persönliche Daten oder Geschäftsgeheimnisse zu schützen und erleichtert zudem dritten Geheimdiensten das Ausspähen von Staats- und Betriebsgeheimnissen.

Und genau der Punkt, dass der BND auch anderen „gewöhnlichen“ Kriminellen hilft, wird oftmals unterschätzt. Zero-Days sind teuer und wenn eine deutsche Behörde mit bedeutendem Budget – von 4,5 Millionen speziell für Zero-Days war in der gestrigen Meldung die Rede – in das Preisspiel einsteigt, wird das sicherlich nicht zum Fallen des Kurses führen. Das Finden und Verkaufen könnte in Folge noch attraktiver für die Anbieter werden, so auch CCC-Sprecher Dirk Engling:

Wenn auch deutsche Geheimdienste diesen Schwarzmarkt mit unseren Steuergeldern noch anheizten, würde das erhebliche Folgekosten für die Wirtschaft haben, die schon heute kaum hinterherkommt, ihre technische Infrastruktur gegen Angriffe zu verteidigen […] Der geplante Erwerb und Handel mit Sicherheitslücken durch den BND wäre nicht nur in mehrfacher Hinsicht rechtlich fragwürdig, sondern ist auch eine direkte und vorsätzliche Schädigung der deutschen Wirtschaft.“ Sicherheitslücken gehören nach der Entdeckung geschlossen und nicht verkauft und geheimgehalten solange es irgendwie geht.

Stattdessen wäre es hilfreich und konstruktiv, an der aktiven Aufdeckung und Erkennung von Zero-Days mitzuarbeiten. Das wäre auch zum Schutz der eigenen Bürger geboten. Es wäre notwendig, transparente Sicherheitsauditierungen zu fördern und Zero-Days nicht geheim zu halten, geschweige denn in der Hoffnung von Exklusivität zu kaufen. Außerdem muss einen Mechanismus für die verantwortungsvolle Veröffentlichung von Sicherheitslücken geschaffen werden, der es den Betroffenen ermöglicht, darüber informiert zu werden, wenn Sicherheitsprobleme bestehen oder bestanden haben könnten.

Hörtipp am Rande: Wie solche „Responsible Disclosure“-Mechanismen vielleicht aussehen könnten, wird auch in der 193. Chaosradio-Sendung diskutiert.

4 Ergänzungen

  1. Unsere Regierung, besser noch die EU sollte diese Informationen kaufen und dann die Bevölkerung – Verbraucher wie Unternehmen – vor den Sicherheitslücken warnen …

  2. Das sollte nicht gemacht werden, denn solche Wege werden immer auch genutzt wenn es richtig erscheint… Unabhängig von der Gesetzeslage. Ich hatte früher Zugang zu Gesundheitsdaten mehrerer Millionen Personen und die Polizei hat regelmäßig angerufen und gefragt ob sie Informationen haben kann. Auf den Hinweis, dass die Anfrage und Herausgabe nicht legal sei, meinte man stets man könne es ja mal versuchen, schließlich ging es um wichtige Fälle. Scheinbar waren sie jedoch nicht so wichtig, dass es eine richterliche Anordnung gab… Die kam nämlich nie!

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.