 |
# taz.de -- BND will Verschlüsselung knacken: Mut zur Lücke |
|
|
|
> Der Bundesnachrichtendienst will Informationen über Sicherheitslücken in |
|
> Software kaufen, um sie für Spähaktionen zu nutzen. |
|
|
 |
Bild: Die BND-Zentrale in Berlin. Die Palme soll Kunst sein |
|
|
|
BERLIN dpa | Der Bundesnachrichtendienst (BND) will [1][einem Medienbericht |
|
zufolge] Informationen über Sicherheitslücken in Software kaufen. Das |
|
Nachrichtenmagazin Der Spiegel [2][berichtete], dass der BND in den |
|
nächsten Jahre 4,5 Millionen Euro eingeplant habe, um bisher unbekannte |
|
Sicherheitslücken in Software zu kaufen. Das gehe aus geheimen Unterlagen |
|
hervor. |
|
|
|
Die Lücken wolle der BND nutzen, um die verbreitete Verschlüsselung SSL |
|
auszuhebeln. Banken, Online-Netzwerke oder Shopping-Seiten verwenden SSL, |
|
um Kundendaten und Login-Informationen zu schützen. Auch die Süddeutsche |
|
Zeitung berichtete von den Plänen des BND, diese Verschlüsselung zu |
|
knacken. Der BND wolle offenbar Software-Sicherheitslücken für gezielte |
|
Spähattacken nutzen, berichteten Süddeutsche Zeitung, NDR und WDR. |
|
|
|
Die Bundesregierung hat die Zusammenarbeit des Bundesnachrichtendienstes |
|
(BND) mit der französischen Software-Sicherheitsfirma Vupen bestätigt. Eine |
|
der Dienstleistungen der Firma Vupen ist es, Geheimdiensten und |
|
Sicherheitsbehörden eben diese in Software entdeckten Sicherheitslücken zur |
|
Verfügung zu stellen. Ein Sprecher des Bundesinnenministeriums sagte am |
|
Montag in Berlin, die Erkenntnisse aus der Zusammenarbeit mit Vupen seien |
|
vor allem für den Schutz der Regierungsnetze und nicht zur Weitergabe an |
|
Dritte erworben worden. Die Zusammenarbeit mit der französischen Firma sei |
|
inzwischen beendet worden. |
|
|
|
Regierungssprecher Steffen Seibert erklärte, Ziel der Bundesregierung sei |
|
es, die Abhängigkeit von ausländischen Dienstleistern im Bereich |
|
IT-Sicherheit weiter zu reduzieren. „Es trifft zu, dass der BND plant, |
|
seine vorhandene technische Basis zu stärken“, fügte Seibert hinzu. Das |
|
zentrale Element dieser Initiative sei der Aufbau eines Frühwarnsystems für |
|
Cyber-Angriffe. |
|
|
|
## CCC fordert, den Sicherheitslücken-Kauf zu verbieten |
|
|
|
Der Hackerverein Chaos Computer Club (CCC) reagierte empört. Er warf dem |
|
BND vor, Bürger und Unternehmen Gefahren durch Sicherheitslücken in |
|
Computerprogrammen auszusetzen. Der CCC forderte, den Kauf der |
|
Sicherheitslücken durch deutsche Behörden zu verbieten. Diese |
|
Sicherheitslücken, genannt „zero day exploits“, werden teilweise von |
|
Hackern aufgespürt und auf einem unkontrollierten Markt gehandelt. |
|
|
|
Angreifer können die Lücken unter Umständen ausnutzen, um in Computer |
|
einzudringen. Auf diese Gefahr weist schon der Name hin: „zero days“ heißen |
|
so, weil Nutzer keine Zeit („null Tage“) haben, um sich vor einem Angriff |
|
zu schützen. Auch Kriminelle können die Schwachstellen entdecken und für |
|
ihre Zwecke ausnutzen. |
|
|
|
Dass der BND solche Schwachstellen angeblich aufkaufen wolle, sei |
|
„inakzeptabel“, kritisierte der Chaos Computer Club am Montag. Er warf dem |
|
Nachrichtendienst vor, den Markt für Software-Fehler anzuheizen. „Der |
|
Anreiz würde weiter steigen, aufgespürte Sicherheitslücken im Geheimen zu |
|
handeln“, erklärte der CCC. Auf dem Schwarzmarkt würde das Wissen um die |
|
Schwachstellen „für sechs- bis achtstellige Euro-Beträge“ verkauft. |
|
|
|
„Gleichzeitig wird es Bürgern und Unternehmen erschwert, sich vor |
|
technischen Angriffen auf persönliche Daten oder Geschäftsgeheimnisse zu |
|
schützen“, betonte der Hackerverein. Sicherheitsexperten warnen immer |
|
wieder vor Gefahren durch unveröffentlichte Software-Lücken. Fachleute |
|
werben dafür, Sicherheitslücken den Herstellern der Software mitzuteilen. |
|
|
|
Die können dann dafür sorgen, dass die Lücken gestopft werden. Unternehmen |
|
wie Google oder Microsoft schreiben Geld für die Jagd nach Schwachstellen |
|
aus. Google startete im Sommer das „Project Zero“, um selbst |
|
Sicherheitslücken in Software aufzudecken. |
|
|
|
10 Nov 2014 |
|
|
|
## LINKS |
|
|
 |
[1] http://www.sueddeutsche.de/digital/bundesnachrichtendienst-aufruesten-fuer-… |
|
[2] http://www.spiegel.de/netzwelt/netzpolitik/sicherheitsluecken-ccc-kritisier… |
|
|
|
## TAGS |
|
|
|
Bundesnachrichtendienst |
|
Schwerpunkt Überwachung |
|
Sicherheitslücken |
|
NSA |
|
Wlan |
|
Schwerpunkt Überwachung |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Verbot von Verschlüsselung: Die Rückkehr der Krypto-Krieger |
|
|
|
Verschlüsselte Kommunikation? Wenn der Staat im Notfall mitlesen darf. Wie |
|
nach den Anschlägen von Paris eine alte Debatte ein Revival feiert. |
|
|
|
Kommentar Netzpolitik in Deutschland: WLAN für alle? Denkste! |
|
|
|
Die Bundesregierung will kein Internet für alle. Zumindest dann nicht, wenn |
|
es per unverschlüsseltem Wlan daherkommt. |
|
|
|
CCC-Kongress 31C3 in Hamburg: Volle Kraft voraus |
|
|
|
Der Chaos Computer Club präsentiert sich auf seinem Kongress gestärkt. Der |
|
31C3 ist politische Plattform, Hackspace und Spielplatz für tausende |
|
Besucher. |
