Deutsch
English
Sicherheitslücken sind heiß begehrt. Und sind sie noch komplett unbekannt, gibt es kaum ein Mittel gegen diese Angriffe. Mit Zero Day Exploit (Ausnutzen eines Schwachpunkts am Tag Null) bezeichnet man einen Angriff, der auf eine bislang unbekannte Schwachstelle abzielt. Dabei hat der Hersteller genau 0 Tage Zeit, Abwehrmaßnahmen zu ergreifen oder Patches zum Schließen der Lücke zu erstellen. Es handelt sich also um Angriffspunkte, Fehler im System, mit dem man Schadsoftware einschleusen, Daten auslesen oder Rechner lahmlegen kann. Und genau dafür gibt es einen weltweiten Markt!
Neben den unvermeidlichen Adressen im Darknet, wo man bevorzugt anonym in Bitcoin an einen gesichtslosen Hacker zahlt, gibt es Sicherheitsfirmen, die mehr oder minder offen auftreten und „mit Ratschlägen und Inspiration“ helfen wollen. Oder es treten sog. Exploits Broker (Schwachstellen-Händler) auf, die gegen ein gewisses Entgelt vermitteln und für ihre absolute Diskretion bekannt sind. Sie verfügen über Listen, in denen bislang unbekannte Exploits zu finden sind. Ob Flash-Plugin, Android, MS Office oder Mac OS, das Angebot ist groß. Man kann sich vorstellen, dass hier meistbietend verkauft wird, wer auch immer der Abnehmer sein mag.
Kauft man solche Informationen, so muss es schnell gehen. Häufig wird dazu bestehende Schadsoftware angepasst, um genau in die jeweilige Lücke zu stoßen – oder man kauft die bereits angepasste Software gleich mit! Die Lücke könnte jederzeit auch von anderen gefunden werden bzw. der Hersteller selbst könnte ein Update veröffentlichen. Insofern ist es immer Glückssache, wie lange ein Zero Day Exploit wirksam bleibt. Wird die Lücke schnell geflickt (weil z.B. die Firma intern schon Bescheid wusste), hat man vielleicht Unsummen ausgegeben, ohne einen echten Gegenwert zu bekommen. Was schockieren mag: Im Durchschnitt bleiben die Sicherheitslücken ganze 7 Jahre nutzbar.
In der Praxis sieht das so aus: Ein Hacker findet heraus, dass z.B. in einem großen PDF-Reader eine Schwachstelle ist, die das Ausführen von Schad-Code ermöglicht. Oder er bemerkt, dass man über eine Webanwendung (z.B. eine Seite, auf der man seine Kundendaten eingeben soll) auch an die Kundendaten selbst kommt. Dies kann z.B. passieren, wenn man statt der Benutzerdaten spezielle Befehle eingibt, das System dagegen nicht abgesichert ist und so ungewollt Zugriff auf seine Datenbank gewährt. Die großen Shops, Banken, Behörden und häufig genutzte Programme auf allen Betriebssystemen sind gleichermaßen beliebte Ziele – hier locken das große Geld oder sensible Daten.
Dabei muss man sich keinen einsamen Nerd im Kinderzimmer vorstellen, der diese Lücken findet. Das ist eher die Ausnahme und ein Klischee aus Kinofilmen. Es ist ein hochprofessionelles Business geworden, in dem einzelne Profis oder ganze Teams in Programmcode herumstochern, immer wieder Neues ausprobieren und systematisch Schwachstellen abklopfen. Haben Sie etwas gefunden, können sie Ihre Erkenntnisse direkt anbieten oder Zwischenhändler nutzen. Eine gesetzliche Pflicht, diese Erkenntnisse zum Schutz der allgemeinen Sicherheit zu offenbaren, gibt es nicht. Eine Lücke in einem wenig verbreiteten Programm bringt natürlich weniger als z.B. eine Lücke im Firefox. iOS und Windows sind dabei neben Chrome die Königsklasse. Hier können auch siebenstellige Beträge fällig werden.
Die Preise steigen, denn S chwachstellen sind immer schwieriger zu finden. Betrachtet man heute alte Browser oder Betriebssysteme, wundert man sich eher, weshalb früher nicht alle Rechner mit Viren verseucht waren, so löchrig waren sie oftmals programmiert. Sicherheitslücken so offen wie Scheunentore sind heute eher selten, denn die Firmen rüsten erheblich auf. Arbeiteten früher Softwarehersteller z.T. sorglos und nicht immer professionell, geht heute bei größeren Anbietern jede neue Software und auch jedes Update durch eine strenge, interne Prüfung. Man weiß schließlich, dass jeder größere Fehler nicht nur das Vertrauen der Nutzer, sondern auch Millionen an der Börse kosten kann. Je nachdem, wie wichtig ein Produkt ist, werden auch externe Sicherheitsfirmen, in den Hacker legal ihre Dienste anbieten, eingeschaltet. Erst wenn sie grünes Licht geben, wird etwas veröffentlicht. Doch bei allen Sicherheitsmaßnahmen gibt es nur eine Gewissheit: Fehler passieren und jemand wird sie finden.
Abnehmer dafür gibt es genug. Natürlich sind die Firmen interessiert, welche für diese Lücken im System verantwortlich sind oder Sicherheitssoftware vertreiben. Verbrecher, die über diesen Weg Schadsoftware verbreiten oder direkt sensible Daten oder Geld abgreifen wollen, befinden sich natürlich auch unter den Bietern. Aber auch Geheimdienste in aller Welt, die Schwachstellen liebend gerne für ihre eigenen Zwecke ausnutzen, brauchen diese Informationen. Weiß man, wie man z.B. in einen Browser seine eigene Überwachungssoftware eingeschleust bekommt, kann das strategisch wichtige Erkenntnisse liefern. Denn sowohl politische Gegner, wie auch Terroristen oder Verbrecher nutzen das Internet. Oder man denkt eher defensiv und kauft eine Lücke, um sie zu stopfen, bevor jemand angreifen kann. Das Bundeskriminalamt kaufte gleich für 147.000 € ein Gesamtpaket, das nicht nur einen Zero Date Exploit, sondern auch noch eine passende Software umfasste. Dabei wirkt es etwas surreal, dass man hier nicht komplett die Schwachstelle plus Software erwarb, sondern eine Einjahreslizenz. Es muss ja alles seine Ordnung haben!
Aktivisten fordern daher eine Offenbarungs-Pflicht, besonders bei Behörden. Amerikanische Geheimdienste sind beispielsweise bekannt dafür, eine große Bandbreite von Exploits zu kennen und in ihrem Sinne zu nutzen. Sie umgehen damit auch die immer mehr eingesetzten Verschlüsselungsmethoden und Sicherheitssysteme ihrer Gegner. Auf der anderen Seite setzen sie die Öffentlichkeit bewusst einer erheblichen Gefahr aus. Egal, ob der Händler mehrfach verkauft oder andere diese Lücke finden, Milliarden System bleiben wegen der Geheimhaltung ungeschützt. Und so manche Malware nutzte aus, was die Behörden schon lange kannten. Daher meine Frage an Sie: Was wiegt schwerer – staatlicher Cyberwar oder öffentliche Sicherheit?
Sehr geehrter Herr Krumrey,
zuerst einmal eine Entschuldigung von mir ! Sorry, ich wollte Sie in keinster Weise beleidigen.
Aber es ist bekannt, das die Geheimdienste der USA für die (damals) vollständige Entwicklung und der Herausgabe eines neuen Windows Betriebssystems die Entwicklungs- und auch die Vertriebskosten übernomen hatte. (Nur damit Sie sich den Zugang zu dieser Betriebssoftware erkaufen konnten.)
Von daher denke ich nicht das ein sicherer Hack nur so Preiswert ist, denn mit so einem kann man ja sehr viel, besonders in der Cyberwelt der Währungen erreichen.
Alles gut, bei dem Thema kann man auch durchaus emotional werden. Das Thema mit dem Geheimdienst und der Windows-Entwicklung ist interessant, mal schauen, was ich dazu finde. Ist es mehr als Hörensagen, wird ein Blog daraus. :) Danke!
In was für einer Kinderwelt leben Sie ?
2 Millionen für einen Hack oder eine Schwachstelle?
Kinderkacke! Sorry! Aber eine vom Staat zugelassene schwachstelle ist meist mehr als eine Milliarde wert. Denn ganau über Sie kann man Milliarden verstecken und verschieben.
Ist es nicht verwunderlich, das genau das von der USA vielgelobte Unternehmen Microsoft so viele Anhänger und befürworter für ein Betriebssystem hat, das offenscheinig sich nur in Anlaufstellen von Fehlern für Hackern eröffnet!?
Nein , denn nur hier kann sich die USA-Regierung in Ihrem Verfolgungswahn abgesichert fühlen. Denn fast nur das Windows von Microsoft bietet der Regierung und dessen Unterschergen den vollständigen Zugriff auf die Daten der Nutzer.
Man könnte das Internet sicher machen!
Doch vor oder für wen?
Die Regierung will vollständigen Zugriff haben und verscherbelt diesen auch gerne einmal unter der Hand an die Industrie.
Der Nutzer will eigentlich nur in Ruhe gelassen werden, von der Staatlichen Überwachung und erfreut sich eines relativ geringen Preises für die Soaftware. Auch wenn er weiß, das er sich damit an die Regierungen verkauft hat.
Dennoch hofft er darauf das die Ihn verkaufende Regierung ein wenig vor dem Alltagterror durch Kriminelle schützt. Was leider nicht der Fall ist, denn selbst die Regierung verdient damit Ihre Diäten.
Eine Kinderwelt, in der man sich an die Zahlen hält, die in den Recherchen herauskommen. :) Glaubwürdige Quellen mit höheren Beträgen habe ich nicht gefunden, ich schließe es aber natürlich nicht aus, dass es weitaus mehr geben könnte.
Guten Abend Herr Krumrey,
wie gewöhnlich bin ich spät dran, weil ich mich erst zu einer Stellungnahme aufraffen muss, was mich jedoch nicht daran hindern soll, meinen Senf dazu zu geben.
Es ist schon ein Kreuz mit der Menschheit. Jeder ist doch nur noch darauf aus, sich auf dem Buckel des Nächsten ein goldenes Näschen zu verschaffen, egal was dieses Tun für Trümmer hinterlässt.Meines Erachtens nach wird dies , da es ja im Großen wie im Kleinen geschieht, in absehbarer Zeit zu einem totalen Kollaps der Weltwirtschaft führen. Wer sich dies bildlich vor Augen führt, muss , wenn er überhaupt noch Augen hat, zu Tode erschrecken. Denn dann geht der Rest des gesunden Menschenverstandes auch noch zum Teufel. Und in diesem Teufelskreis tummeln sich alle Nutzer des sogenannten Darknet. Und jetzt sind wir beim Thema. Es ist für mich völlig gleich, gegen wen sich das so oder so verbrecherische Handeln dieser Leute richtet. Aber wie ich in den vorliegenden Kommentaren lesen musste, geht es doch jedem nur um seinen Hals. In keinem dieser Kommentare wurde das nach meiner Meinung wichtigste Argument gegen die Hackergilde erwähnt. Wie schon des Öfteren haben diese Leute doch bewiesen, zu was sie fähig sind. Was wäre denn, wenn einer unserer machtbesessenen Despoten sich die Möglichkeit verschafft, durch sein Handeln den 3. Weltkrieg zu entfachen. Und dies ist wirklich nicht zu weit hergeholt. Wie in Ihrem Artikel angedeutet, es lässt sich alles hacken. Ist nur eine Frage des Aufwands von Mitteln und Zeit.
Wer sich dieses Scenario vor Augen hält, und noch ruhig schlafen kann,ist ein absoluter Optimist . Da ich
schon der Generation scheintot angehöre, hoffe ich, dass die ganze Chose erst nach meinem Ableben statt-
findet. Es ist keine Frage des ob, sondern des wann.
So, das wars für heute. Ich wünsche Ihnen noch einen verspäteten, doch wunderschönen Frühling , und bleiben Sie mir gewogen. Viele Grüße aus Spanien
Adolf Alliger
Mit Kommentaren wie diesen gehören Sie keinesfalls zur Generation Scheintot! Ich hoffe, dass Ihre Zukunftsvision nicht eintritt, die Möglichkeit, da haben Sie komplett recht, besteht natürlich. Egal, wie sicher ein System ist, es gibt Lücken, Spionage oder menschliches Versagen. Dennoch gebe ich die Hoffnung nicht auf, der menschliche Überlebenswille ist stark und kann die ganz große Katastrophe bestimmt verhindern. Grüße von der Generation Zipperlein! :)
In der Tat ein schwieriges Thema, aber ein äußerst wichtiges!
Unterm Strich wiegt für mich die öffentliche Sicherheit mit den unzähligen weltweiten privaten Rechnern + erst recht den Industrie-Firmen Netzen, jedenfalls schwerer als staatl. Cyberwar.
Letzteren „Krieg“ (auf Deutschland bezogen), ja obendrein irgendwie „verloren“, wenn wie geschehen, bereits das Herzstück eines Staates, trotz ähnlich einer Zwiebel aufgebaut mit 7 Schichten Sicherheit und im innersten für Geheimstes ganz unabhängig vom WWW läuft. Das wurde dort erst vor 2 Jahren ganz neu kreiert, und trotzdem wieder geknackt und das hält tagesaktuell sogar noch an...
Was ist dann erst viel leichter woanders möglich mit in „bewusste Lücken“ stoßend ???
Ist ein gegen den Staat vergleichsweise "Kleinbetrieb", wie nur z.B. Mercedes/Daimler und all die anderen im Land, da sicherheitsmäßig wirklich besser aufgestellt ???
Von was lebt das Deutschland ohne eigene Bodenschätze? Vom Export und Know-how ! Ohne Know-how Vorsprung kaum Export. Wenn der geklaut in ganze Welt abfließend geht, könnte die BRD daran sogar mal pleite gehen.
Die privaten Bürger Sorgen wie Online-Banking usw. durch gewollte bzw. geduldete staatl. „Eingriffslücken“ will ich als Peenuts gegen obige Dimension hier gar nicht erst erwähnen.
Für mich war dieses Blog-Thema jedenfalls hochspannend, trotz rel. weniger Resonanz.
Danke für den differenzierten Kommentar, freut mich, dass der Blog Ihnen gefallen hat. Ich dachte mir schon, dass es kein Thema ist, zu dem sich jeder äußern möchte. aber das ist auch okay, der nächste Blog wird dann wieder einer für alle. :)
In einer Serien heißt es "Wie viele Menschen sind nötig ... bevor aus Recht Unrecht wird? 1.000? 50.000? 1 Million?"
Doch in der Tat, es fängt beim Allerersten an.
Vor dem Gesetz sollten alle gleich sein. Und wenn man anfängt, "Ausnahmen" "zum Wohle aller" durchzuführen, hat man einen sehr gefährlichen Weg eingeschlagen, weil man klare Grenzen eingerissen hat. Was ist dann der nächste Schritt? Folter zum Gewinnen von Erkenntnissen? Mord zur unbürokratischen Beseitigung von Gefährdern?
Es mag so aussehen, als ob diese Vision sehr weit hergeholt ist, doch der Weg ist kürzer als man denken mag. Der Beweis ist die Geschichte (nicht nur unsere).
Wenn Staaten sich nicht mehr an ihre eigenen Gesetze halten müssen, dienen sie nicht mehr dem Recht und können selbst niemand anderem mehr Vorschriften machen. Das, was Vorbild zu sein hat, schafft sich damit selber ab und bietet seinen Feinden die Argumentation "dann muss ich mich auch nicht daran halten" frei Haus.
Wer moralische Grenzen einreisst , hat keine mehr.
Danke, dass Sie sich die Zeit genommen haben! Wie ich an der Anzahl der Kommentare merke, war es diese Woche schwierig. :)
"Wird die Lücke schnell geflickt (weil z.B. die Firma intern schon Bescheid wusste), hat man vielleicht Unsummen ausgegeben, ohne einen echten Gegenwert zu bekommen."
Das klingt ja wie "Einbrecher findet nach Bruch nichts zum stehlen."
Ich finde das nicht weiter schlimm, ich empfinde sogar so etwas wie Schadenfreude.
Dieter Eikhoff
Aus unserer Sicht ganz eindeutig. Wer gerade viel Geld in die Hand genommen, mag das anders sehen. :)
Moin Herr Krumrey, Moin zusammen.
Da kommen Sie aber mit einer Frage. Tricky ist nichts dagegen!
Um es kurz zu machen - ich meine, dass die öffentliche Sicherheit schwerer wiegt.
Irgendwie habe ich den falschen Beruf gehabt. Bin doch eigentlich ganz fix mit meinem Notebook und hätte als Hacker ein Vermögen machen können.
Jetzt ist es zu spät. Als Rentner müsste ich viel zu viel Steuern zahlen.
Liebe Grüße aus Flensburg....wir ersaufen in Schnee.
Dieter Striegel
Ich kann ja nicht nur leichte Fragen stellen, sonst wird es ja langweilig. :) Mit vielen Grüßen aus dem eiskalten, aber schneefreien Oldenburg!
Ist es richtig, dass sich in umfangreicheren Programmcodes leichter Schadcode einschleusen lässt als in weniger umfangreichen?
Ich las neulich, dass zum Beisspiel bei micrsosoft-Programmen der Programmcode ein mehrfaches dessen beträgt, der für Linux verwendet wird.
Und ist es zweitens richtig, dass wegen der geringen Anzahl der Nutzer Linux nur deshalb sicherer ist, weil sich Angriffe nicht lohnen?
Ihre Frage kann ich leider nicht beantworten. Mir gefallen Halunken nicht, ob sie nun privat oder offiziell daher kommen.
Was sicherer oder unsicherer ist - bleibt wohl ein stetiger Diskussionspunkt. Was den Umfang angeht: Es ist wahr, dass eher "schmalere" Betriebssysteme wie Debian sicherer sind. Das liegt u.a. daran, dass es nicht so viele Optionen gibt, wo man als Hacker angreifen kann. Ein Haus mit mit ein paar Luken ist dann in der Tat sicherer als die Prachtvilla mit zahlreichen Panorama-Fenstern. Was die Verbreitung angeht, so hängt sicherlich vieles an der Verbreitung, auf dem PC/Notebook-Desktop kommt Linux nicht über einen Marktanteil von grob zwei Prozent hinaus. Zudem sind Linux-Systeme sehr unterschiedlich, es gibt hier nicht *ein Windows*, sondern große Vielfalt. Zudem bezieht der Linux-Anwender zusätzliche Software ausschließlich aus den sicheren Paketquellen seiner Linux-Distribution. Vom ganzen Aufbau her ist Linux ein eher restriktives System, man arbeitet viel mit eingeschränkten Rechten, um Schaden zu verhindern.
hatten Sie ein Näschen oder ist das Thema aus aktuellem Anlass? Öffentliche Sicherheit wiegt in meinen Augen schwerer. Wenn die zugunsten von stattlichem Cyberwar aufs Spiel gesetzt wird, dann resultieren daraus schlimmere Dinge, als der Gewinn, wenn man Sicherheitslücken für Spionage offenhält. Wenn Know-How von großen Unternehmen ausgespäht wird, gibt es große Schäden für die Wirtschaft und wie man sieht ... unsere staatlichen Systeme sind auch nicht sicher und man hat auch keine Ahnung, wie man sie sicher machen kann ... weil ja die Sicherheitslücken nicht bekanntgegeben werden, weil man sich gegenseitig ausspionieren will ... Es wird langsam grotesk.
Ich hatte keine Insider-Informationen, was den aktuellen Hackerangriff angeht, das Thema ist halt (leider) Dauerbrenner. Und ob dabei gekaufte Zero Day Exploits genutzt wurden, würde mich brennend interessieren. Details wird man aber kaum erfahren.