BND will Cyberkriminelle finanzieren
Der bundesdeutsche Geheimdienst plant den Ankauf von Zero-Day-Exploits auf dem grauen Markt, um den Schutz durch Verschlüsselung besser umgehen zu können
Der Bundesnachrichtendienst BND will in den nächsten Jahren auf dem grauen Markt sogenannte Zero Day Exploits einkaufen, um damit an Informationen zu kommen, die durch Verschlüsselung geschützt sind. Dies berichtet "Der Spiegel" in der aktuellen Ausgabe. Bei Zero Day Exploits handelt es sich um Sicherheitslücken in Software, die dem Hersteller und der breiten Öffentlichkeit unbekannt sind und für die es zum Zeitpunkt der Veröffentlichung (dem "Zero Day") keinen Schutz gibt. Dem Vernehmen nach richtet sich der Angriff des BND vor allem gegen SSL-Verschlüsselung, die Verbindungen im Internet, etwa zwischen einem Webserver und einem Browser, aber auch die Übertragung von E-Mails absichert.
Seit dem Bekanntwerden der flächendeckenden Überwachung im Rahmen des PRISM-Projekts durch die NSA setzen Anwender häufiger Verschlüsselungstechniken ein, etwa die PGP-Verschlüsselung von E-Mails. Auch Serverbetreiber verwenden nun weitaus häufiger SSL. Offensichtlich sehen sich Geheimdienste angesichts dessen nun gezwungen, auch dubiose Quellen heranzuziehen, um an die gewünschten Informationen zu kommen.
Als im April dieses Jahres ein schwerwiegender Programmierfehler in einer SSL-Software öffentlich wurde, die sogenannte Heartbleed-Lücke, waren Millionen Server im Internet einer akuten Bedrohung ausgesetzt. Schnell wurde die Frage laut, ob der US-amerikanische Geheimdienst NSA schon länger von dieser Lücke gewusst und sie stillschweigend genutzt habe, statt die Öffentlichkeit und Software-Hersteller zu informieren. Dies sei nicht der Fall gewesen, behaupteten Regierungsstellen anschließend und sahen sich genötigt, eine generelle Stellungnahme zu diesem Problem abzugeben: Zero-Day-Schwachstellen, von denen Geheimdienste und Polizei Kenntnis erlangten, seien zum Schutz der Bevölkerung stets öffentlich zu machen. Jedoch mit einer Ausnahme: Geht es um Angelegenheiten, die die nationale Sicherheit oder die Verfolgung von Straftaten betreffen, können US-Regierungsstellen weiterhin im Geheimen davon Gebrauch machen.
Der BND scheint nach ähnlichen Maximen zu operieren und sie noch einen Schritt weiter zu treiben, indem er aktiv auf die Suche nach solchen Schwachstellen geht. Da anscheinend die eigenen Ressourcen dazu nicht genügen, sollen die Zero Day Exploits auf dem grauen Markt hinzugekauft werden, der sich in den letzten Jahren entwickelt hat. Dort handeln dubiose Security-Firmen und Cyberkriminelle mit der heißen Ware, für die es neben Geheimdiensten viele Abnehmer gibt. Industriespionage, Botnetzbetreiber und ähnlich illustre Gestalten sind es, die mit dem BND auf dem Markt der Sicherheitslücken konkurrieren, ebenso wie auch die NSA. Dies will sich der BND zwischen den Jahren 2015 und 2020 etwa 4,5 Millionen Euro kosten lassen.
Der Plan des BND, für die Aufdeckung von Sicherheitslücken zu bezahlen, die aus dubiosen Quellen stammen, ist kaum mit dem grundsätzlichen Auftrag vereinbar, die Bürger und Firmen des Staats vor Angriffen auch im Internet zu schützen. Dirk Engling vom Chaos Computer Club kommentiert das Vorhaben des BND entsprechend:
Der geplante Erwerb und Handel mit Sicherheitslücken durch den BND wäre nicht nur in mehrfacher Hinsicht rechtlich fragwürdig, sondern ist auch eine direkte und vorsätzliche Schädigung der deutschen Wirtschaft.
So sieht es laut dem Spiegel-Bericht auch Michael Weidner vom Fraunhofer-Institut für Sichere Informationstechnologie: "Den Markt für Schwachstellen zu unterstützen ist aus staatlicher Sicht eine extrem schlechte Idee."
Es ist nicht unwahrscheinlich, dass staatliche Stellen dank des BND-Vorhabens mit Millionenbeträgen an Steuergeldern die Aktivitäten von Cyberkriminellen unterstützen. Denn letztlich ist kaum sicherzustellen, dass einmal aufgedeckte Sicherheitslücken nicht in falsche Hände gelangen, solange der BND seinen Nutzen daraus zieht, während er dabei unter Umständen die Grundrechte der Überwachten verletzt.