TECH

„Einen Hack für das iPhone, bitte.“ „Gerne, das macht dann zwei Millionen Dollar.“

Sven Krumrey

Sicherheitslücken sind heiß begehrt. Und sind sie noch komplett unbekannt, gibt es kaum ein Mittel gegen diese Angriffe. Mit Zero Day Exploit (Ausnutzen eines Schwachpunkts am Tag Null) bezeichnet man einen Angriff, der auf eine bislang unbekannte Schwachstelle abzielt. Dabei hat der Hersteller genau 0 Tage Zeit, Abwehrmaßnahmen zu ergreifen oder Patches zum Schließen der Lücke zu erstellen. Es handelt sich also um Angriffspunkte, Fehler im System, mit dem man Schadsoftware einschleusen, Daten auslesen oder Rechner lahmlegen kann. Und genau dafür gibt es einen weltweiten Markt!

Der unfreiwillige Mut zur Lücke

Neben den unvermeidlichen Adressen im Darknet, wo man bevorzugt anonym in Bitcoin an einen gesichtslosen Hacker zahlt, gibt es Sicherheitsfirmen, die mehr oder minder offen auftreten und „mit Ratschlägen und Inspiration“ helfen wollen. Oder es treten sog. Exploits Broker (Schwachstellen-Händler) auf, die gegen ein gewisses Entgelt vermitteln und für ihre absolute Diskretion bekannt sind. Sie verfügen über Listen, in denen bislang unbekannte Exploits zu finden sind. Ob Flash-Plugin, Android, MS Office oder Mac OS, das Angebot ist groß. Man kann sich vorstellen, dass hier meistbietend verkauft wird, wer auch immer der Abnehmer sein mag.

Kauft man solche Informationen, so muss es schnell gehen. Häufig wird dazu bestehende Schadsoftware angepasst, um genau in die jeweilige Lücke zu stoßen – oder man kauft die bereits angepasste Software gleich mit! Die Lücke könnte jederzeit auch von anderen gefunden werden bzw. der Hersteller selbst könnte ein Update veröffentlichen. Insofern ist es immer Glückssache, wie lange ein Zero Day Exploit wirksam bleibt. Wird die Lücke schnell geflickt (weil z.B. die Firma intern schon Bescheid wusste), hat man vielleicht Unsummen ausgegeben, ohne einen echten Gegenwert zu bekommen. Was schockieren mag: Im Durchschnitt bleiben die Sicherheitslücken ganze 7 Jahre nutzbar.

In der Praxis sieht das so aus: Ein Hacker findet heraus, dass z.B. in einem großen PDF-Reader eine Schwachstelle ist, die das Ausführen von Schad-Code ermöglicht. Oder er bemerkt, dass man über eine Webanwendung (z.B. eine Seite, auf der man seine Kundendaten eingeben soll) auch an die Kundendaten selbst kommt. Dies kann z.B. passieren, wenn man statt der Benutzerdaten spezielle Befehle eingibt, das System dagegen nicht abgesichert ist und so ungewollt Zugriff auf seine Datenbank gewährt. Die großen Shops, Banken, Behörden und häufig genutzte Programme auf allen Betriebssystemen sind gleichermaßen beliebte Ziele – hier locken das große Geld oder sensible Daten.

Handel mit unbekannten Schwachstellen

Dabei muss man sich keinen einsamen Nerd im Kinderzimmer vorstellen, der diese Lücken findet. Das ist eher die Ausnahme und ein Klischee aus Kinofilmen. Es ist ein hochprofessionelles Business geworden, in dem einzelne Profis oder ganze Teams in Programmcode herumstochern, immer wieder Neues ausprobieren und systematisch Schwachstellen abklopfen. Haben Sie etwas gefunden, können sie Ihre Erkenntnisse direkt anbieten oder Zwischenhändler nutzen. Eine gesetzliche Pflicht, diese Erkenntnisse zum Schutz der allgemeinen Sicherheit zu offenbaren, gibt es nicht. Eine Lücke in einem wenig verbreiteten Programm bringt natürlich weniger als z.B. eine Lücke im Firefox. iOS und Windows sind dabei neben Chrome die Königsklasse. Hier können auch siebenstellige Beträge fällig werden.

Die Preise steigen, denn S chwachstellen sind immer schwieriger zu finden. Betrachtet man heute alte Browser oder Betriebssysteme, wundert man sich eher, weshalb früher nicht alle Rechner mit Viren verseucht waren, so löchrig waren sie oftmals programmiert. Sicherheitslücken so offen wie Scheunentore sind heute eher selten, denn die Firmen rüsten erheblich auf. Arbeiteten früher Softwarehersteller z.T. sorglos und nicht immer professionell, geht heute bei größeren Anbietern jede neue Software und auch jedes Update durch eine strenge, interne Prüfung. Man weiß schließlich, dass jeder größere Fehler nicht nur das Vertrauen der Nutzer, sondern auch Millionen an der Börse kosten kann. Je nachdem, wie wichtig ein Produkt ist, werden auch externe Sicherheitsfirmen, in den Hacker legal ihre Dienste anbieten, eingeschaltet. Erst wenn sie grünes Licht geben, wird etwas veröffentlicht. Doch bei allen Sicherheitsmaßnahmen gibt es nur eine Gewissheit: Fehler passieren und jemand wird sie finden.

Ein dankbarer Abnehmer für Zero Day Exploits

Abnehmer dafür gibt es genug. Natürlich sind die Firmen interessiert, welche für diese Lücken im System verantwortlich sind oder Sicherheitssoftware vertreiben. Verbrecher, die über diesen Weg Schadsoftware verbreiten oder direkt sensible Daten oder Geld abgreifen wollen, befinden sich natürlich auch unter den Bietern. Aber auch Geheimdienste in aller Welt, die Schwachstellen liebend gerne für ihre eigenen Zwecke ausnutzen, brauchen diese Informationen. Weiß man, wie man z.B. in einen Browser seine eigene Überwachungssoftware eingeschleust bekommt, kann das strategisch wichtige Erkenntnisse liefern. Denn sowohl politische Gegner, wie auch Terroristen oder Verbrecher nutzen das Internet. Oder man denkt eher defensiv und kauft eine Lücke, um sie zu stopfen, bevor jemand angreifen kann. Das Bundeskriminalamt kaufte gleich für 147.000 € ein Gesamtpaket, das nicht nur einen Zero Date Exploit, sondern auch noch eine passende Software umfasste. Dabei wirkt es etwas surreal, dass man hier nicht komplett die Schwachstelle plus Software erwarb, sondern eine Einjahreslizenz. Es muss ja alles seine Ordnung haben!

Aktivisten fordern daher eine Offenbarungs-Pflicht, besonders bei Behörden. Amerikanische Geheimdienste sind beispielsweise bekannt dafür, eine große Bandbreite von Exploits zu kennen und in ihrem Sinne zu nutzen. Sie umgehen damit auch die immer mehr eingesetzten Verschlüsselungsmethoden und Sicherheitssysteme ihrer Gegner. Auf der anderen Seite setzen sie die Öffentlichkeit bewusst einer erheblichen Gefahr aus. Egal, ob der Händler mehrfach verkauft oder andere diese Lücke finden, Milliarden System bleiben wegen der Geheimhaltung ungeschützt. Und so manche Malware nutzte aus, was die Behörden schon lange kannten. Daher meine Frage an Sie: Was wiegt schwerer – staatlicher Cyberwar oder öffentliche Sicherheit?

Zurück zur Übersicht

Kommentar schreiben

Bitte melden Sie sich an, um zu kommentieren.