50.000 Dollar und mehr für Bugs

Regierungsorganisationen zahlen erheblich mehr pro Bug als die jeweils betroffenen Hersteller: Die Rede ist von Einstiegspreisen ab 50.000 US-Dollar. Deshalb würden Softwareproduzenten immer seltener von Lücken in ihren Produkten erfahren. Diesen Eindruck vermittelt nicht zuletzt ein Artikel der Nachrichtenagentur Reuters, der etliche der derzeit bekannten Fakten rund um das Zusammenspiel aus Geheimdiensten, Rüstungslieferanten, Softwareherstellern und kommerziellen Bug-Jägern beleuchtet. Offenbar grasen Regierungsorganisationen und Rüstungslieferanten den Markt für Softwareschwachstellen immer gründlicher ab.

Rüstungslieferanten wie Raytheon, Harris oder Northrop Grumman sind Experten zufolge schon seit etlichen Jahren in diesem Geschäft. Und anders als Unternehmen wie Vupen oder ReVuln, die durch öffentliche Präsentationen (ReVuln) und krawallige Tweets (Vupen) auf sich und ihre Arbeit aufmerksam machen, werkeln die Rüstungsunternehmen klassisch im Verborgenen. Nur hin und wieder finden sich Belege für ihre Arbeit. Beispielsweise, wenn sie per Stellenausschreibung nach einem „Unix Attack Developer“ oder „Exploit Developer“ suchen. Nachdem das für diese Aufgaben notwendige Wissen nicht besonders breit gestreut sein dürfte, kaufen die finanziell gut ausgestatteten Zulieferer die hellen Köpfe nach und nach weg.

Welcher Geheimdienst nun wie viel Geld pro Jahr für Exploits an die Rüstungszulieferer und andere Bug-Jäger überweist, ist nicht genau bekannt. Howard Schmidt, bis 2012 verantwortlich für Cyber-Sicherheit in der ersten Obama-Regierung, sagte gegenüber heise Security, dass ihm kein Staat bekannt sei, der sein Exploit-Budget öffentlich mache. Im Jahr 2012 meldete das Nachrichtenmagazin Forbes allerdings, dass ein US-amerikanisches Unternehmen, das mit der US-Regierungs zusammen arbeitet, 250.000 US-Dollar für eine Sicherheitslücke in iOS bezahlt hätte. Und im Zusammenhang mit dem „Bundestrojaner“ sprechen Quellen von bis zu 50.000 Euro, die eine mit der Spähsoftware betraute Bundesbehörde für den zum Verbreiten des Trojaners notwendigen Exploit bezahlte. Ob diese Zahl realistisch ist und welche anderen Bug-Ankäufe beispielsweise das Bundeskriminalamt tätigt, bleibt aber unklar. Die Behörde äußert sich hierzu ebenso wenig wie das Innenministerium in Berlin oder das BSI.

Es liegt jedoch auf der Hand, dass Unternehmen wie Apple, Adobe, Microsoft oder Oracle immer öfter leer ausgehen. Denn sie zahlen den Entdeckern der später gepatchten Schwachstellen keine Prämien. Diese Weigerung führte zu dem vor einigen Jahren geprägten Slogan „No more free bugs“: Hacker, die durch ihre Arbeit die Qualitätssicherung von Microsoft & Co. unterstützen, wollten berechtigterweise für ihre (ungefragt) erledigte Arbeit bezahlt werden. Kommt das Geld nicht vom Hersteller, würde man eben auf dem freien Markt verkaufen.

Als Reaktion auf „No more free bugs“ riefen Unternehmen wie Facebook, Google oder Paypal Bug-Bounty-Programme ins Leben. Die durch diese Initiativen bezahlten Fangprämien bewegen sich mit Ausnahme von Google Pwnium meist im niedrigen vierstelligen Bereich und liegen damit unter den Summen, die Behörden zahlen. Wobei eine Zero-Day-Lücke in Windows sicherlich größeres Missbrauchspotential – und damit einen höheren Wert für staatliche und private Angreifer – hat als eine Cross-Site-Scripting-Schwachstelle auf der Paypal-Website.

Dass das Sammeln von Exploits und Schwachstelleninformation kein neues Phänomen ist, belegt eine nicht mehr der Geheimhaltung unterliegende Ausgabe der internen NSA-Zeitschrift „Cryptolog“ aus dem Frühjahr 1997 (PDF): Auf Seite 33 ist die Rede davon, dass mindestens 18 verschiedene NSA-Abteilungen solche Informationen sammeln und auswerten.

Howard Schmidt jedenfalls sieht den Ankauf von Exploits durch Regierungsbehörden nicht gänzlich unkritisch: „Als unsere kritischen Infrastrukturen noch nicht komplett von IT-Systemen abhängig waren, ging von Exploits keine so große Gefahr aus wie heute.“ Eine internationale Regulierung des Handels mit den Schwachstellen sieht Schmidt jedoch als unrealistisch an. Nicht zuletzt deshalb, weil damit einige Forschungs- und Wissenschaftsdisziplinen über Nacht ins Aus gestellt würden. (kbe)