US-Geheimdienstfachmann: Die Regierung sollte Exploit-Preise in die Höhe treiben
Dan Geer, CIO des Investment-Arms der CIA, machte in der Keynote der Sicherheitskonferenz Black Hat provokante Vorschläge, wie sich das Internet absichern ließe. Unter anderem will er den Markt für Sicherheitslücken austrocknen.
- Uli Ries
(Bild: Uli Ries)
Geht es nach Dan Geer, dann soll die US-Regierung den Markt für Zero-Day-Exploits im Alleingang austrocknen und es Angreifern damit schwerer machen, durch simple Geldzahlung an digitale Angriffswerkzeuge zu kommen. Geer ist der Chief Information Officer von In-Q-Tel, dem Venture-Capital-Arm des US-Auslandsgeheimdienstes CIA. In-Q-Tel investiert in junge Unternehmen, die für die Geheimdienste nützliche Produkte entwickeln.
Exploit Preise künstlich in die Höhe treiben
Geer präsentierte während seiner Eröffnungsrede "Cybersecurity as Realpolitik" zur IT-Sicherheitskonferenz Black Hat 2014 eine Reihe von Vorschlägen, wie sich die Sicherheit im Internet erhöhen lässt. Eine der Ideen sagt, dass die amerikanische Regierung die gängigen Grau- und Schwarzmarktpreise für Exploits um den Faktor 10 überbieten und damit die private Konkurrenz ausstechen soll. Nach dem Beheben der Schwachstellen soll die Regierung die Informationen offenlegen und so den Markt für Exploits ausgetrocknen. Dann hätten es kriminelle Organisationen und andere Regierungsbehörden schwerer, sich mit Angriffswerkzeugen einzudecken.
Die hohen Preise seien notwendig, damit alle anderen Anbieter ausgestochen würden, so Geer. Außerdem seien hohe Preis ratsam, damit die Bug-Jäger auch von ihrer Arbeit leben können und sich nicht genötigt sehen, doch an einen zweifelhaften Bieter zu verkaufen. Hacker, die das Programmieren von Exploits kommerziell betreiben, gehen mit ihrem Wissen üblicherweise nicht an die Öffentlichkeit, so Geer. Vielmehr suchten sie den höchsten Bieter, der den Exploit ebenfalls geheim hält – was die allgemeine Sicherheit im Internet senkt.
Diese Forderung des streitbaren Geer dürfte auf wenig Gegenliebe bei seinen Kollegen der NSA und anderen Geheimdiensten stoßen. Denn diese Organisationen sitzen ja ebenfalls auf großen Exploit-Sammlungen, die sie für Angriffe verwenden. Auf diesen offensichtlichen Widerspruch ging Dan Geer nicht weiter ein. Er nannte aber noch einen Vorteil dieses Aufkaufs: Wenn die US-Regierung sich sicher sein kann, über quasi alle Exploits und Schwachstellen Bescheid zu wissen, dann sei keine Spionage mehr nötig, um das Arsenal der Gegner abschätzen zu können.
Religion und Software
Mit einer weiteren Idee dürfte der Fachmann für Unruhe unter Softwareherstellern sorgen. Denn Geer schlägt vor, dass auch Software unter die vorhandenen Produkthaftungsgesetze fallen sollte. "Im Moment gibt es nur zwei Produkte, die von der Haftung ausgenommen sind: Religion und Software", so Geer. Würde der Vorschlag Realität, müssten Hersteller für eventuell durch Bugs entstandene Schäden aufkommen. Freikaufen könnten sich die Softwarelieferanten laut Geer, wenn sie ihren Quellcode als Open Source bereit stellen. Auch mit diesem Vorschlag wird Geer sich in der IT-Industrie kaum Freunde machen. (fab)
