Categories: E-GovernmentPolitik

BND-Aufkauf von Sicherheitslücken – Trend Micro prüft Klage

Der IT-Sicherheitsanbieter Trend Micro prüft derzeit sowohl ob überhaupt – und wenn ja wie – rechtliche Schritte möglich sind, um gegen die Pläne des Bundesnachrichtendienstes (BND) vorzugehen, der für seine Arbeit Wissen über Sicherheitslücken ankaufen will. Das hat Raimund Genes, CTO bei Trend Micro, gestern Abend während einer Veranstaltung im Presseclub München erklärt. Als Grundlage einer möglichen Klage könnte Paragraf 202c des Strafgesetzbuches, der sogenannte “Hackerparagraf” dienen, der das “Vorbereiten des Ausspähens und Abfangens von Daten” unter Strafe stellt. Eine Frage, die zu prüfen ist, ist sicherlich, inwieweit sich der BND auch hier im Rahmen der Gesetze bewegen muss oder ob sie für ihn nicht gelten.

Raimund Genes, CTO bei Trend Micro, ist über die Pläne des BND entsetzt, Wissen zu Sicherheitslücken anzukaufen. (Bild: Trend Micro)

“Als ich von den Plänen erfahren habe war ich war ziemlich entsetzt, dass das in Deutschland möglich ist”, so Genes. Den CTO treiben dabei nicht nur moralische Bedenken um. Er befürchtet auch, dass die Arbeit seines Unternehmens und der Mitbewerber dadurch weiter erschwert wird: “Wir haben jetzt nicht mehr nur den Untergrund, der die Preise hoch treibt, sondern auch staatliche Stellen, die mit Steuergeldern fleißig mitbieten.”

Wie Anfang November bekannt geworden war, steht dem BND bis 2020 für den Ankauf von Zero-Day-Lücken ein Budget von 4,5 Millionen Euro zur Verfügung. Mit dem so erworbenen Wissen möchte der Geheimdienst beispielsweise die für den Datenverkehr zwischen Browsern und Servern eingesetzte SSL-Verschlüsselung knacken.

Dem “Spiegel” zufolge will der BND Informationen über Schwachstellen auch auf dem grauen Markt beschaffen. Dazu gehört etwa die französische Firma Vupen, von der bekannt ist, dass sie Informationen über Zero-Day-Lücken an den US-Auslandsgeheimdienst National Security Agency (NSA) verkauft hat. Sie offeriert laut Website des auch Lösungen zum Eindringen in IT-Systeme, die es “Regierungsbehörden erlauben, ihre offensiven Cyber-Missionen durchzusetzen”. Vupen sichert aber immerhin zu, sein Wissen nur an Behörden in Staaten zu verkaufen, für die das aus Sicht der französischen Gesetze zulässig ist. Andere Firmen sind hier nicht so zimperlich.

Auch wenn 4,5 Millionen zunächst viel klingen, ist doch völlig unklar, ob sich damit in den kommenden vier Jahren die Ziele des BND überhaupt erreichen lassen. Denn schon für „gewöhnliche“, bis dato unbekannte Lücken werden in einschlägigen Foren regelmäßig zwischen 50.000 und 100.000 Dollar verlangt und bezahlt. Richtig „gute Sicherheitslücken“ die Geheimdienste auch erlauben unerkannt zu agieren, sind wesentlich teurer.

In jedem Fall liegen die auf dem Grau- oder Schwarzmarkt erzielbaren Preise deutlich über den Honoraren, die Hersteller oder Entwicklern von Software den Entdeckern zu zahlen bereit sind. Mozilla lobt für findige Sicherheitsexperten zum Beispiel bis zu 3000 Dollar aus, wer eine Lücke in Chrome findet, kann von Google dafür bis zu 7500 Dollar erhalten.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Redaktion

View Comments

  • Er DARF es nicht nur - es sollte auch SEINE AUFGABE sein, derartige Gefahren aktiv aufzuspüren. Allerdings nicht, um sie selbst im geheimen für sich zu verwenden, sondern um seiner eigentlicuhen Aufageb nachzukommen - dem Schutz der bevölkerung vor kriminellen Übergriffen. D.h. die beschafften Sicherheitsinformationen sollten über eine fixe, transparente Infrastruktur direkt dem Bürger zugute kommen - d.h. dieser sollte sich über diese jederzeit und aktuell informieren können.

    Maximal eine kurze "Schonfrist" von wenigen Stunden o.ä. ist in Fällen akzeptabel, wo Patches zu schaffen sind - in der lediglich die Entwickler / Hersteller der betroffenen Software / Produkte zwecks Schaffung eines Patches informiert werden (wie dies bei Open Source Produkten teils üblich ist) - diese aber wiederum unverzüglich!

    Es kann nicht sein, das Dienste sich mittels Steuergeld (also unserem...) Informaitonsvorteile beschaffen, die nicht direkt und im vollen Umfang dem Bürger nutzbar gemacht werden!

Recent Posts

Alle Prozesse im Blick: IT-Service Management bei der Haspa

Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…

5 Stunden ago

Wie generative KI das Geschäft rund um den Black Friday verändert

Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…

5 Stunden ago

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

1 Tag ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

1 Tag ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

1 Tag ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago