Wachsender Markt für Zero-Day-Exploits
Mit ihrer offensiven Cyberwar-Strategie fördert die US-Regierung einen globalen Markt für IT-Sicherheitslücken, beklagen Experten. Das könnte das Web noch unsicherer machen, als es heute schon ist.
Mit ihrer offensiven Cyberwar-Strategie fördert die US-Regierung einen globalen Markt für IT-Sicherheitslücken, beklagen Experten. Das könnte das Web noch unsicherer machen, als es heute schon ist, berichtet Technology Review in seiner Online-Ausgabe in einer aktuellen Analyse. Ein Beispiel sind die Hackerkonferenzen Black Hat und Defcon in Las Vegas. Dort präsentieren Experten vor großem Publikum die neuesten Sicherheitslücken in gängiger Soft- und Hardware. Regelmäßige Teilnehmer haben jedoch bemerkt, dass die Enthüllungen der letzten Konferenzen nicht mehr so spektakulär ausfielen wie in den Jahren zuvor.
Ein Grund: Wer eine so genannte Zero-Day-Schwachstelle aufgespürt hat – eine bis dahin noch nicht bekannte Lücke –, kann mit ihr längst mehr verdienen als ein bisschen Ruhm in der Szene und den einen oder anderen Drink an der Konferenzbar. Rüstungsfirmen, Geheimdienste und Regierungen zahlen inzwischen einige hunderttausend Dollar für solche Funde im Code verbreiteter Software.
Noch gibt es keine verlässlichen Zahlen, wie groß dieser Handel mit "Zero-Day-Exploits" wirklich ist. Dass er existiert, zeigt aber, wie in den vergangenen Jahren ein ganz neuer Industriezweig entstanden ist. Und dieser "Malware-Industrial Complex" dürfte in Zukunft eine ordentliche Portion des US-Verteidigungsbudgets verschlingen und internationale Beziehungen verändern.
Christopher Soghoian von der American Civil Liberties Union (ACLU) geht ebenfalls davon aus, dass Industrie und Regierungen dabei sind, Zero-Day-Exploits im größeren Stil einzukaufen. "Einerseits rotiert die US-Regierung hypernervös in Sachen Cyber-Sicherheit, andererseits mischt sie selbst in einem globalen Markt für Software-Schwachstellen mit und treibt die Preise nach oben", sagt Soghoian. Seine Einschätzung gründet sich auf verschiedenen Gesprächen mit Insidern dieses neuen Marktes. Selbst Polizeibehörden würden sich an dem Handel schon beteiligen, um die Rechner und Telefone von Verdächtigen besser überwachen zu können, sagt er.
Mehr zum Thema in Technology Review online:
(bsc)
