"Zero Day Exploits": Staaten kaufen Sicherheitslücken

14. Juli 2013, 12:27
15 Postings

Der junge Markt boomt - Unternehmen und Hacker verkaufen ihre Funde teuer an Meistbietende

Dass viele Unternehmen Daten sammeln, Nutzerprofile erstellen und diese schließlich zur kommerziellen Weiterverwendung verkaufen, ist bekannt. Doch auch Sicherheitslücken in Computersystemen und Programmen sind ein begehrtes Gut. Verschiedene Firmen spezialisieren sich darauf, Schwachstellen zu entdecken und das Wissen darüber an Interessenten gegen hohe Geldbeträge weiterzugeben, wie die New York Times ausführlich berichtet.

Hohe Nachfrage nach "Zero Days"

Eines dieser Unternehmen ist Revuln. Die beiden italienischen Firmenbetreiber, Luigi Auriemma und Donato Ferrante, operieren von der Mittelmeerinsel Malta aus. Über ihre Kundschaft sprechen sie nicht, doch es gilt als offenes Geheimnis, dass Geheimdienstorganisationen wie die NSA solche Dienste in Anspruch nehmen.

Das Geschäft boomt. Besonders gefragt sind naturgemäß "Zero Day Exploits", gerade erst entdeckte Schwachstellen, die folglich kaum jemandem bekannt sind und sich ausnutzen lassen, bis der jeweilige Softwarehersteller ein Update veröffentlicht. Lücken in breit genutzten Systemen wie Microsoft Windows können Zugriff auf Computer und Daten vieler Leute und auch bestimmten Zielen – etwa ausländische Organisationen und Diplomaten – gewähren.

Markt im Wandel

Geschäft und Preise haben sich gewandelt. Vor einiger Zeit hätte Revuln seine Funde noch ausschließlich an die Urheber der entsprechenden Lücken verkauft, welche sie dann behoben hätten. Diese werden nun regelmäßig von anderen Interessenten aus staatlichem Umfeld überboten.

In fernerer Vergangenheit gaben sich Hacker gar noch mit T-Shirts oder namentlichen Erwähnungen auf der Homepage der jeweiligen Firma zufrieden. In China sollen einige besonders patriotische Vertreter ihrer Zunft der Regierung ihre Funde nach wie vor kostenlos bereit stellen.

"Weniger Sicherheit für alle"

Die frühe Kenntnis eines Exploits erlaubt die rechtzeitige Entwicklung von Methoden, um sie zu nutzen. Ein Beispiel dafür ist Stuxnet. Der laut NSA-Whistleblower Edward Snowden von den USA und Israel coproduzierte Wurm verursachte vor wenigen Jahren Schwierigkeiten in iranischen Atomanlagen.

"Die Regierungen beginnen zu sagen, dass man sein Land am besten schützt, in dem man Schwachstellen bei anderen Ländern sucht", erklärt Howard Schmidt, ein ehemaliger Cybersecurity-Koordinator des Weißen Hauses der New York Times. "Das Problem daran ist, dass dies zu weniger Sicherheit für alle führt."

Durchschnittliche Lücke existiert 312 Tage

Freilich sind es nicht nur US-Behörden, die Geld in die Kenntnis von Exploits investieren. Zu den größten Einkäufern sollen auch England, Russland, Indien und Brasilien zählen. Selbst Nordkorea und eine Reihe von Staaten aus dem asiatischen Pazifikraum betätigen sich am Markt.

Die durchschnittliche Sicherheitslücke besteht laut dem Sicherheitssoftware-Unternehmen Symantec für 312 Tage, bevor sie beseitigt wird. Zeit genug, um sie auf mannigfaltige Art und Weise zu nutzen.

"Hast du irgendeine Schwachstelle für Windows 7?"

Im stetig wachsenden "Zero Day"-Geschäft sind mittlerweile auch Broker unterwegs. Sie vermitteln entdeckte Fehler im Auftrag ihrer Klienten gegen eine Beteiligung an Bestbietende. Dazu gesellen sich verschiedene Bezahlysteme und Anreize – etwa Bonuszahlungen für jeden Monat, in welchem der erworbene Exploit vom Hersteller der betroffenen Software noch nicht entdeckt wurde.

Die Anfragen an die Broker gestalten sich dabei wenig subtil. "Lieber Freund, hast du irgendeine Codeausführungs-Schwachstelle für Windows 7, Mac oder Anwendungen wie Browser, Office, Flash?", zitiert Sicherheitsexperte Billy Rios eine E-Mail. "Wenn ja, dann ist die Bezahlung kein Problem." Rios war einst Sicherheitstechniker bei Microsoft undarbeitet mittlerweile in leitender Position beim Security-Start-up Cylance.

Einnahmen und Aktivitäten steigen

Das Feld wird zunehmend auch für einstige Geheimdienstmitarbeiter interessant. Das in Virginia ansässige Start-up Endgame wird von einem Ex-NSA-Direktor geleitet und entwickelt Tools, mit welchen sich Schwachstellen leicht aufspüren lassen sollen. Wichtigster Kunde ist die US-Regierung.

Das französische Unternehmen Netragard beliefert laut seinem Gründer, Adriel Desautels, ausschließlich Kunden aus den USA. In den vergangenen drei Jahren verdreifachte man den Umfang des eigenen Verkaufsprogramms. Der durchschnittliche Preis für eine Lücke ist abhängig von ihrer Relevanz und bewegt sich mittlerweile zwischen 35.000 und 160.000 Dollar, erzählt Desautels. Andere Firmen berichten ebenfalls von starker Geschäftsentwicklung.

Unternehmen reagieren

Die Käufer gehen ihrerseits auf die Hacker-Community zu. In "Kopfgeld"-Programmen für Fehler und Sicherheitslücken bietet man den Findern Geld für ihre Funde. Zu den ältesten Programmen dieser Art zählt jenes der Mozilla Foundation, auch eine Reihe großer Unternehmen sind an Bord. Auch hier steigen die Preise stetig an.

2010 zahlte Google bis zu 3.133,70 Dollar für eine Schwachstelle im Webbrowser Chrome. Vergangenen Monat wurden bereits 20.000 Dollar ausgeschüttet. Facebook betreibt eine ähnliche Initiative seit 2011 und hat insgesamt bereits eine Million Dollar ausbezahlt.

Nach langem Zögern ist auch Microsoft auf den Zug aufgesprungen. Für eine Sicherheitslücke und die Beschreibung ihrer Reparatur schüttet der Redmonder Software-Riese 150.000 Dollar aus. Apple gehört zu den wenigen großen Unternehmen, die nach wie vor auf eine derartige Initiative verzichten.

US-Aktivitäten als Markt-Katalysator

Die Aktivitäten der USA dürften stark zur Entwicklung des Marktes beigetragen haben. 2007 veröffentlichte der ehemalige NSA-Mitarbeiter ein Papier zu seinen Erfahrungen. Er beschrieb, wie US-Behörden begannen, ihm Geld für entdeckte Schwachstellen zu zahlen. Ausgehend von solchen Angeboten erkannte die Community das Potenzial des Marktes und das Zeitalter der kostenlosen Offenlegungen von Sicherheitslücken endete.

Die Unternehmen sollen mittlerweile kaum noch mit den Angeboten von staatlicher Seite konkurrieren können. Die Preisspirale dreht sich auch deswegen weiter stetig nach oben. Laut Experten gibt es kaum Anreize für die Teilnehmer, den Markt zu regulieren.

Tanz mit dem Teufel

Hat jemand eine Lücke im Angebot, die Millionen Geräte betreffen könnte, wird es laut Schmidt immer jemanden geben, der bereit ist, den geforderten Preis zu zahlen. "Der Tanz mit dem Teufel", so der Fachmann, "ist im Cyberspace zur Normalität geworden." (red, derStandard.at, 14.07.2013)

Share if you care.