SSL abhören: Kritik an BND-Plänen zu Zero-Day-Exploits

Nach Erkenntnissen des Nachrichtenmagazins Der Spiegel und der Süddeutschen Zeitung hat der Bundesnachrichtendienst (BND) eine "Strategische Initiative Technik" (SIT) begonnen, um "auf Augenhöhe mit führenden westlichen Nachrichtendiensten" kooperieren zu können. Für die Vorbereitung von SIT sollen noch in diesem Jahr 6,22 Millionen Euro ausgegeben werden, nächstes Jahr dann 28 Millionen. Insgesamt sollen bis 2020 rund 300 Millionen Euro in die technische Aufrüstung investiert werden. Für diese Summe sollen unter anderem Softwareschwachstellen eingekauft und beispielsweise verdeckte Netzzugänge finanziert werden.

Am Wochenende wurde die Existenz von zwei SIT-Projekten des BND bekannt: Unter dem Codenamen "Nitidezza" (italienisch für Bildschärfe) sollen Softwareschwachstellen eingekauft werden, um den Zugang zu geschützter Kommunikation durch Lücken in Betriebssystemen zu erhalten. Unter dem Codenamen "Swop" (englisch für Tauschen) will der BND allein im kommenden Jahr 4,5 Millionen Euro ausgeben, um einen "verdeckten Zugang zu einer ausländischen Vermittlungsstelle" unterhalten zu können.

Regierungssprecher Steffen Seibert erklärte gegenüber der dpa, die Abhängigkeit von ausländischen Dienstleistern im Bereich IT-Sicherheit solle weiter reduziert werden. "Es trifft zu, dass der BND plant, seine vorhandene technische Basis zu stärken", erklärte Seibert, ohne weiter ins Detail zu gehen. Keine Auskunft gab hingegen das Bundesamt für Sicherheit in der Informationstechnik, das erst vor wenigen Tagen als Schirmherr des IT-Sicherheitspreises die Schwachstellenanalyse mit SPLlift ausgezeichnet hatte. Die Berichte seien vom BSI zur Kenntnis genommen worden, erklärte Pressereferent Tim Griese gegenüber heise online: "Pläne oder Aktivitäten oder potenzielle Möglichkeiten anderer Behörden kommentiert das BSI jedoch nicht."

"BND heizt Schwarzmarkt an"

Dirk Engling, Pressesprecher des Chaos Computer Club, verwies darauf, dass der Einstieg des BND in den dubiosen Markt der Exploits die deutsche Wirtschaft schädigen werde: "Wenn auch deutsche Geheimdienste diesen Schwarzmarkt mit unseren Steuergeldern noch anheizten, würde das erhebliche Folgekosten für die Wirtschaft haben, die schon heute kaum hinterherkommt, ihre technische Infrastruktur gegen Angriffe zu verteidigen."

Ähnlich äußerte sich Stefan Körner, Bundesvorsitzender der Piratenpartei. Es gehe nicht an, dass mit deutschen Steuergeldern ein Bereich der IT-Branche gefördert werde, der davon lebe, IT-Infrastrukturen anzugreifen: "Wenn das die Strategie der Bundesregierung ist, sich für unsere Sicherheit einzusetzen, sollten wir die Regierung und ihre Nachrichtendienste viel mehr fürchten als die immer wieder herbeifabulierte Gefahr des Cyberterrors", erklärte Körner.

Im Zuge des BND-Projektes wurde bekannt, dass das BSI bis September 2014 mit der umstrittenen Firma Vupen einen Vertrag laufen hatte. Dabei soll es jedoch nicht um Softwareschwachstellen gegangen sein, mit denen Vupen ganz offiziell Handel betreibt. Nach Aussage des BSI soll es bei der Zusammenarbeit mit Vupen ausschließlich um den "Schutz der Regierungsnetze" gegangen sein.

Nur für Einzelfälle

4,5 Millionen Euro für Zero-Day-Exploits ist jedoch nur auf den ersten Blick viel Geld. Angesichts der horrenden Summen, die solche Schwachstellen mittlerweile auf dem Schwarzmarkt erzielen, relativiert sich das deutlich. So schätzen Insider den Wert von voll funktionsfähigen Exploits in weit verbreiteter Software wie Internet Explorer, Flash oder Android und iOS auf bis zu 100.000 US-Dollar. Bezieht man die Kosten für eigene Experten, die das zumindest anpassen und einsetzen können, mit ein und rechnet das auf den Zeitraum von 5 Jahren hoch, wird klar, dass das nur für wenige Einzelfälle reicht.

Unterdessen geht das Rätselraten darüber weiter, wie wohl der BND die Internet-Verschlüsselung knacken will, auf deren Sicherheit sich nicht nur Anwender sondern auch internationale Konzerne und Staaten verlassen. Das einzige was man sagen kann ist: Wenn Zero-Day-Exploits eine zentrale Rolle spielen, dann klingt das so, als ginge es darum, über noch unbekannte Schwachstellen in Applikationen oder Betriebssystem den Rechner des zu Überwachenden mit einem Staatstrojaner zu infiltrieren und den Inhalt der Kommunikation an der Quelle zu überwachen. Das ist der wahrscheinlichste – weil am einfachsten zu bewerkstelligende – Weg mit den geringsten Nebenwirkungen. (anw)