Deutscher Geheimdienst BND will Wissen über Sicherheitslücken kaufen

Der Bundesnachrichtendienst (BND) hat angekündigt, künftig auf dem Schwarzmarkt sogenannte Zero-Day-Exploits, also unveröffentlichte und unbehobene Sicherheitslücken in Software, aufzukaufen. Das Projekt „Strategische Initiative Technik“ (SIT) soll den Steuerzahler 300 Millionen Euro kosten.

Symbolbild: lolloj/fotolia.com

Der BND will Wissen über gefährliche Lücken in Computerprogrammen kaufen. Symbolbild: lolloj/fotolia.com

Neue Sicherheitslücken in Computerprogrammen, sogenannte Zero-Day-Exploits, sind der Schrecken von Softwarefirmen und Verbrauchern. Hersteller von Software versuchen in der Regel, solchen Lücken so schnell wie möglich zu schließen, um die Menschen vor den daraus entstehenden Gefahren zu schützen.Ist das nicht möglich, werden die Verbraucher vor den Risiken zumindest so schnell wie möglich gewarnt.

Der Bundesnachrichtendienst hat genau das Gegenteil vor: Er will sich das Wissen über solche noch unbehobenen Sicherheitslücken einkaufen und dann ausnutzen. Das haben Recherchen mehrerer Medien, die inzwischen bestätigt wurden, ergeben. Die Lücken sollen im Rahmen von Aufklärungsversuchen zum Angriff auf Computersysteme benutzt werden. Der Chaos Computer Club (CCC) kritisiert die vom BND nun offen geforderte Ausnutzung von Schwachstellen als schweren Grundrechtseingriff und als inakzeptabel.

„Mit der unverhohlenen geheimdienstlichen Forderung, hinterrücks in Computer eindringen zu wollen, sollen praktisch kritische Sicherheitslücken mißbraucht werden, die auch anderen Kriminellen einen Angriffspunkt bieten“, so der CCC heute in einer Erklärung. „Gleichzeitig wird es Bürgern und Unternehmen erschwert, sich vor technischen Angriffen auf persönliche Daten oder Geschäftsgeheimnisse zu schützen und erleichtert zudem dritten Geheimdiensten das Ausspähen von Staats- und Betriebsgeheimnissen.“

0-day-Exploits würden auf dem ohnehin bereits von konkurrierenden Geheimdiensten finanzierten kriminellen Schwarzmarkt für sechs- bis achtstellige Euro-Beträge gehandelt, berichtet die Organisatron weiter. „Um auf diesem Markt mitspielen zu können, müßte sich der BND mit Steuergeldern in gleicher Höhe am Bieterwettstreit beteiligen. Denn wie beim Handel mit Drogen oder Waffen regelt auch bei 0day-Exploits die Nachfrage das Angebot.“

Piratenpartei: Sollten Nachrichtendienste mehr fürchten als angeblichen Cyberterror

Dirk Engling, Sprecher des CCC, warnte: „Wenn auch deutsche Geheimdienste diesen Schwarzmarkt mit unseren Steuergeldern noch anheizten, würde das erhebliche Folgekosten für die Wirtschaft haben, die schon heute kaum hinterherkommt, ihre technische Infrastruktur gegen Angriffe zu verteidigen.“ Der Anreiz würde weiter steigen, aufgespürte Sicherheitslücken im Geheimen zu handeln bzw. gezielt vermeintlich harmlose Fehler in kritische Softwarekomponenten einzubauen und diese dann nach einiger Zeit den Diensten und ihren Partnerfirmen zu verkaufen.

Für das Projekt „Strategische Initiative Technik“, mit dem der BND sich weiter fit in Sachen Computerspionage machen will, sollen insgesamt rund 300 Millionen Euro an Steuergeldern ausgegeben werden. Der Ankauf von Wissen über Sicherheitslücken läuft unter dem Codenamen „Nitidezza“ (italienisch für Bildschärfe). Dazu kommt das Teilprojekt  „Swop“ (englisch für Tauschen), mit dem der Geheimdienst heimlich den Internet-Datenverkehr belauschen will.

Stefan Körner, Chef der Piratenpartei, reagierte auf die BND-Pläne entsetzt. „Von einem verantwortungsbewussten Nachrichtendienst sollte man erwarten, dass er alles tut, um Sicherheitslücken in unserer Infrastruktur möglichst schnell beseitigen zu lassen. Stattdessen will der Bundesnachrichtendienst künftig Informationen über Sicherheitslücken auf dem Graumarkt erwerben und der Branche, die davon lebt, unsere Infrastruktur anzugreifen, auch noch Geld aus unseren Steuern zuführen“, sagte er. „Wenn das die Strategie der Bundesregierung ist, sich für unsere Sicherheit einzusetzen, sollten wir die Regierung und ihre Nachrichtendienste viel mehr fürchten als die immer wieder herbeifabulierte Gefahr des Cyberterrors.“

Unklar ist, wie der BND bei seinen Bemühungen die oft verschlüsselte KOmmunikation im Internet mitlesen will. Das Fachportal Heise.de hat einen Verdacht: „Wenn Zero-Day-Exploits eine zentrale Rolle spielen, dann klingt das so, als ginge es darum, über noch unbekannte Schwachstellen in Applikationen oder Betriebssystem den Rechner des zu Überwachenden mit einem Staatstrojaner zu infiltrieren und den Inhalt der Kommunikation an der Quelle zu überwachen. Das ist der wahrscheinlichste – weil am einfachsten zu bewerkstelligende – Weg mit den geringsten Nebenwirkungen.“