Der IT-Sicherheitsanbieter Trend Micro prüft derzeit sowohl ob überhaupt – und wenn ja wie – rechtliche Schritte möglich sind, um gegen die Pläne des Bundesnachrichtendienstes (BND) vorzugehen, der für seine Arbeit Wissen über Sicherheitslücken ankaufen will. Das hat Raimund Genes, CTO bei Trend Micro, gestern Abend während einer Veranstaltung im Presseclub München erklärt. Als Grundlage einer möglichen Klage könnte Paragraf 202c des Strafgesetzbuches, der sogenannte “Hackerparagraf” dienen, der das “Vorbereiten des Ausspähens und Abfangens von Daten” unter Strafe stellt. Eine Frage, die zu prüfen ist, ist sicherlich, inwieweit sich der BND auch hier im Rahmen der Gesetze bewegen muss oder ob sie für ihn nicht gelten.
“Als ich von den Plänen erfahren habe war ich war ziemlich entsetzt, dass das in Deutschland möglich ist”, so Genes. Den CTO treiben dabei nicht nur moralische Bedenken um. Er befürchtet auch, dass die Arbeit seines Unternehmens und der Mitbewerber dadurch weiter erschwert wird: “Wir haben jetzt nicht mehr nur den Untergrund, der die Preise hoch treibt, sondern auch staatliche Stellen, die mit Steuergeldern fleißig mitbieten.”
Wie Anfang November bekannt geworden war, steht dem BND bis 2020 für den Ankauf von Zero-Day-Lücken ein Budget von 4,5 Millionen Euro zur Verfügung. Mit dem so erworbenen Wissen möchte der Geheimdienst beispielsweise die für den Datenverkehr zwischen Browsern und Servern eingesetzte SSL-Verschlüsselung knacken.
Dem “Spiegel” zufolge will der BND Informationen über Schwachstellen auch auf dem grauen Markt beschaffen. Dazu gehört etwa die französische Firma Vupen, von der bekannt ist, dass sie Informationen über Zero-Day-Lücken an den US-Auslandsgeheimdienst National Security Agency (NSA) verkauft hat. Sie offeriert laut Website des auch Lösungen zum Eindringen in IT-Systeme, die es “Regierungsbehörden erlauben, ihre offensiven Cyber-Missionen durchzusetzen”. Vupen sichert aber immerhin zu, sein Wissen nur an Behörden in Staaten zu verkaufen, für die das aus Sicht der französischen Gesetze zulässig ist. Andere Firmen sind hier nicht so zimperlich.
In jedem Fall liegen die auf dem Grau- oder Schwarzmarkt erzielbaren Preise deutlich über den Honoraren, die Hersteller oder Entwicklern von Software den Entdeckern zu zahlen bereit sind. Mozilla lobt für findige Sicherheitsexperten zum Beispiel bis zu 3000 Dollar aus, wer eine Lücke in Chrome findet, kann von Google dafür bis zu 7500 Dollar erhalten.
Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…
Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.
Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…
View Comments
Er DARF es nicht nur - es sollte auch SEINE AUFGABE sein, derartige Gefahren aktiv aufzuspüren. Allerdings nicht, um sie selbst im geheimen für sich zu verwenden, sondern um seiner eigentlicuhen Aufageb nachzukommen - dem Schutz der bevölkerung vor kriminellen Übergriffen. D.h. die beschafften Sicherheitsinformationen sollten über eine fixe, transparente Infrastruktur direkt dem Bürger zugute kommen - d.h. dieser sollte sich über diese jederzeit und aktuell informieren können.
Maximal eine kurze "Schonfrist" von wenigen Stunden o.ä. ist in Fällen akzeptabel, wo Patches zu schaffen sind - in der lediglich die Entwickler / Hersteller der betroffenen Software / Produkte zwecks Schaffung eines Patches informiert werden (wie dies bei Open Source Produkten teils üblich ist) - diese aber wiederum unverzüglich!
Es kann nicht sein, das Dienste sich mittels Steuergeld (also unserem...) Informaitonsvorteile beschaffen, die nicht direkt und im vollen Umfang dem Bürger nutzbar gemacht werden!