Bundesregierung: BND-Arbeit mit Zero-Day-Exploits ist streng geheim
In ihrer Stellungnahme zu einer Abgeordneten-Anfrage über die Nutzung von Zero-Day-Exploits in deutschen Sicherheitsbehörden hat die Bundesregierung die Pläne des Bundesnachrichtendienstes als VS-Geheim eingestuft.
Die Bundesregierung hat ihre Auskunft über Pläne des BND, Zero-Day-Exploits zu kaufen und einzusetzen, unter die höchste Geheimhaltungsstufe gestellt. Dies geht aus der Regierungsantwort auf eine schriftliche Anfrage des Abgeordneten Andrej Hunko von der Linksfraktion hervor. Dieser bewertet die Heimlichtuerei des BND als "nicht hinnehmbar".
Nach Auskunft der Bundesregierung setzen weder das Bundeskriminalamt, die Bundespolizei, der Verfassungsschutz, der Militärische Abschirmdienst und das Zollkriminalamt Zero-Day-Exploits ein. All diese Sicherheitsbehörden hätten auch keine Pläne in der Schublade, ähnliche Informationen in Form von Softwareprodukten zu kaufen.
Anders sieht dies beim Bundesnachrichtendienst aus. Was dieser mit eingekauften Schwachstellen vorhat, ist jedoch VS-Geheim. Bei der höchsten Geheimhaltung dürfen sich Abgeordnete nicht einmal Notizen machen, wenn sie die Antwort im Geheimschutzraum einsehen. Die Bundesregierung ist der Meinung, dass die Veröffentlichung dieser Informationen die Sicherheit der Bundesrepublik Deutschland gefährden und dem Staate schweren Schaden zufügen kann.
Die Heimlichtuerei ist für Hunko nicht hinnehmbar: "Nach dem NSA-Skandal muss der Dienst seine Fähigkeiten schonungslos offenlegen – und nicht hinter die dicken Mauern der Geheimschutzstelle verbannen."
Der Abgeordnete hatte auch gefragt, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit der Firma Vupen zusammengearbeitet hat, die selbst damit wirbt, Zero-Day-Exploits zu verkaufen. Die Bundesregierung verweist auf das von Vupen angebotene Threat Protection Program. Diese Dienstleistung habe das BSI in Anspruch genommen, um die Sicherheit der Regierungsnetze zu gewährleisten. "Eine Weitergabe dieser Erkenntnisse an Dritte erfolgt nicht. Das BSI unterhält keine vertraglichen Beziehungen zu weiteren Anbietern von Sicherheitslücken. Erkenntnisse zu Sicherheitslücken, die entweder öffentlich bekannt sind, auf eigenen Analysen beruhen oder im Rahmen der Zusammenarbeit von CERTs gewonnen werden, diskutiert das BSI zudem gemäß seines gesetzlichen Auftrages regelmäßig mit den jeweiligen betroffenen Herstellern, damit diese die Sicherheitslücken kurzfristig schließen können," heißt es in der Antwort. Falls Bürger durch solche Sicherheitslücken gefährdet seien, werde das BSI öffentliche Warnungen aussprechen.
Diese Auskunft bewertet Hunko als unbefriedigend. Seiner Ansicht nach fördere die Zusammenarbeit mit Firmen wie Vupen einen Markt, der als "organisierte Kriminalität" begriffen werden müsse. "Das BSI fungiert – um es mit den Worten seines Dienstherren zu sagen – als Brandbeschleuniger zur Destabilisierung des Internet." (anw)
