Regierungen decken sich mit Zero Day Lücken am Schwarzmarkt ein

Nach einem Bericht der MIT Technology Review betätigen sich Rüstungsfirmen, Geheimdienste und Ermittlungsbehörden als zahlungskräftige Aufkäufer von bislang unentdeckten Schwachstellen, die durch Malware auszunutzen sind. Dieser “Malware-Industrial Complex” bewirke zugleich eine Gefährdung aller Online-Nutzer, schreibt das MIT. Aus der Hackerszene ist von einer dramatisch reduzierten Zahl offengelegter Bugs zu hören.

Christopher Soghoian, Technologieexperte der Bürgerrechtsorganisation ACLU, führt es auf den Aufkauf der Sicherheitslücken durch Regierung und Industrie zurück. Er erfolge inzwischen im ganz großen Stil, nachdem allein in der Malware Stuxnet vier Zero-Day-Lücken erfolgreich ausgenutzt wurden. Der Stuxnet-Wurm, der unter anderem das iranische Atomkraftwerk Natanz lahmlegte, wurde nach einem Bericht der New York Times von der US-Regierung für solche Cyberangriffe in Auftrag gegeben. Er gelangte aber auch unbeabsichtigt in die freie Wildbahn. In der Folge konnten Cyberkriminelle die Malware analysieren und die Methoden für ihre Zwecke einsetzen.

“Auf der einen Seite verbreitet die Regierung große Hektik von wegen Cybersicherheit, aber andererseits nehmen die USA an einem weltweiten Markt der Schwachstellen teil und treiben die Preise hoch”, berichtet Soghoian. Er habe in Gesprächen von üblichen Preisen zwischen Tausenden und Hunderttausenden Dollar erfahren. Besonders wertvoll sind demnach Exploits für Mobilbetriebssysteme, da diese weniger häufig aktualisiert werden. Da Apple iPhones nur ein paarmal jährlich mit Updates versorge, könne eine Sicherheitslücke entsprechend lange genutzt werden. Der Entdecker einer Zero-Day-Lücke könne sogar mit monatlichen Zahlungen rechnen, solange sie nicht enthüllt sei.

“Solange Apple oderMicrosoft es nicht behoben haben, wird man bezahlt”, erzählt der ACLU-Experte. Der lukrative Verkauf von Schwachstellen an Regierungsbehörden erfolgt teilweise über Mittelsmänner wie einen Sicherheitsforscher in Bangkok, der sich “the Grugq” nennt. Er vermittelt laut Forbes Deals mit Regierungsstellen in den USA und Westeuropa, die eine Viertelmillion Dollar einbringen können, und behält dabei eine Vermittlungsgebühr von 15 Prozent ein. Die französische Sicherheitsfirma Vupen ist ebenfalls im Geschäft mit Zero-Day-Lücken und rühmt sich, über Exploits für alle wichtigen Browser zu verfügen.

Vupen ist schon lange nicht mehr an Prämien von 60.000 Dollar interessiert, wie sie Google für enthüllte Sicherheitslücken seines Browsers Chrome auslobt. Nicht einmal für eine Million Dollar will Vupen-CEO Chaouki Bekrar Google in Kenntnis setzen: “Wir wollen ihnen keine Informationen geben, die ihnen die Behebung dieses Exploits oder ähnlicher Exploits erlaubt. Wir wollen das für unsere Kunden behalten.”

[mit Material von Nick Farrell, TechEye.net]

Tipp: Wie gut kennen Sie sich mit der europäischen Technologie-Geschichte aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

View Comments

  • Jeder wusste, dass es irgend wann mal soweit kommt. Es musste so kommen. Nun ist er da: der Cyberkrieg, gegen den man sich als Individuum oder sogar als ganze Volkswirtschaft nicht richtig wehren können, weil es so viele, unüberschaubar man so viele Verwundungsmöglichkeiten hat und gar nicht weiß, wo diese liegen und wie diese zu verteigen wären. Man weiß nicht einmal, ob man bereits verwundet ist, wenn sich die "Wunde" nicht extrem bösartig infiziert hat und "eitert".

    Würden die Browser und Betriebssysteme usw. wenigstens nicht mehr als unmanaged Code sondern mit managed Code geschrieben, wären zumindest große Teile der Sicherheitslecks nicht mehr vorhanden, da es keine Buffer Overruns mehr gäbe. Aber dorthin zu kommen, sehe ich derzeit eher als illusorisch.

    Es verbleibt ein Desillusionierter mit ein Stück weniger Hoffnung

    • Und wer würde so ein langsames Betriebssystem dann nutzen so lange es ein schnelles gibt?

  • Wenn ich mir anschaue, mit welch veralteten Browsern Mitarbeiter im Internet zum Teil noch unterwegs sind, braucht man über Sicherheitslücken eigentlich nicht mehr diskutieren. Ich habe gerade mal im Logfile meiner Homepage nachgeschaut: Firefox 2.0 und Internet Explorer 3.0 führen die Negativliste bis jetzt an.

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago