# taz.de -- BND will Verschlüsselung knacken: Mut zur Lücke | |
> Der Bundesnachrichtendienst will Informationen über Sicherheitslücken in | |
> Software kaufen, um sie für Spähaktionen zu nutzen. | |
Bild: Die BND-Zentrale in Berlin. Die Palme soll Kunst sein | |
BERLIN dpa | Der Bundesnachrichtendienst (BND) will [1][einem Medienbericht | |
zufolge] Informationen über Sicherheitslücken in Software kaufen. Das | |
Nachrichtenmagazin Der Spiegel [2][berichtete], dass der BND in den | |
nächsten Jahre 4,5 Millionen Euro eingeplant habe, um bisher unbekannte | |
Sicherheitslücken in Software zu kaufen. Das gehe aus geheimen Unterlagen | |
hervor. | |
Die Lücken wolle der BND nutzen, um die verbreitete Verschlüsselung SSL | |
auszuhebeln. Banken, Online-Netzwerke oder Shopping-Seiten verwenden SSL, | |
um Kundendaten und Login-Informationen zu schützen. Auch die Süddeutsche | |
Zeitung berichtete von den Plänen des BND, diese Verschlüsselung zu | |
knacken. Der BND wolle offenbar Software-Sicherheitslücken für gezielte | |
Spähattacken nutzen, berichteten Süddeutsche Zeitung, NDR und WDR. | |
Die Bundesregierung hat die Zusammenarbeit des Bundesnachrichtendienstes | |
(BND) mit der französischen Software-Sicherheitsfirma Vupen bestätigt. Eine | |
der Dienstleistungen der Firma Vupen ist es, Geheimdiensten und | |
Sicherheitsbehörden eben diese in Software entdeckten Sicherheitslücken zur | |
Verfügung zu stellen. Ein Sprecher des Bundesinnenministeriums sagte am | |
Montag in Berlin, die Erkenntnisse aus der Zusammenarbeit mit Vupen seien | |
vor allem für den Schutz der Regierungsnetze und nicht zur Weitergabe an | |
Dritte erworben worden. Die Zusammenarbeit mit der französischen Firma sei | |
inzwischen beendet worden. | |
Regierungssprecher Steffen Seibert erklärte, Ziel der Bundesregierung sei | |
es, die Abhängigkeit von ausländischen Dienstleistern im Bereich | |
IT-Sicherheit weiter zu reduzieren. „Es trifft zu, dass der BND plant, | |
seine vorhandene technische Basis zu stärken“, fügte Seibert hinzu. Das | |
zentrale Element dieser Initiative sei der Aufbau eines Frühwarnsystems für | |
Cyber-Angriffe. | |
## CCC fordert, den Sicherheitslücken-Kauf zu verbieten | |
Der Hackerverein Chaos Computer Club (CCC) reagierte empört. Er warf dem | |
BND vor, Bürger und Unternehmen Gefahren durch Sicherheitslücken in | |
Computerprogrammen auszusetzen. Der CCC forderte, den Kauf der | |
Sicherheitslücken durch deutsche Behörden zu verbieten. Diese | |
Sicherheitslücken, genannt „zero day exploits“, werden teilweise von | |
Hackern aufgespürt und auf einem unkontrollierten Markt gehandelt. | |
Angreifer können die Lücken unter Umständen ausnutzen, um in Computer | |
einzudringen. Auf diese Gefahr weist schon der Name hin: „zero days“ heißen | |
so, weil Nutzer keine Zeit („null Tage“) haben, um sich vor einem Angriff | |
zu schützen. Auch Kriminelle können die Schwachstellen entdecken und für | |
ihre Zwecke ausnutzen. | |
Dass der BND solche Schwachstellen angeblich aufkaufen wolle, sei | |
„inakzeptabel“, kritisierte der Chaos Computer Club am Montag. Er warf dem | |
Nachrichtendienst vor, den Markt für Software-Fehler anzuheizen. „Der | |
Anreiz würde weiter steigen, aufgespürte Sicherheitslücken im Geheimen zu | |
handeln“, erklärte der CCC. Auf dem Schwarzmarkt würde das Wissen um die | |
Schwachstellen „für sechs- bis achtstellige Euro-Beträge“ verkauft. | |
„Gleichzeitig wird es Bürgern und Unternehmen erschwert, sich vor | |
technischen Angriffen auf persönliche Daten oder Geschäftsgeheimnisse zu | |
schützen“, betonte der Hackerverein. Sicherheitsexperten warnen immer | |
wieder vor Gefahren durch unveröffentlichte Software-Lücken. Fachleute | |
werben dafür, Sicherheitslücken den Herstellern der Software mitzuteilen. | |
Die können dann dafür sorgen, dass die Lücken gestopft werden. Unternehmen | |
wie Google oder Microsoft schreiben Geld für die Jagd nach Schwachstellen | |
aus. Google startete im Sommer das „Project Zero“, um selbst | |
Sicherheitslücken in Software aufzudecken. | |
10 Nov 2014 | |
## LINKS | |
[1] http://www.sueddeutsche.de/digital/bundesnachrichtendienst-aufruesten-fuer-… | |
[2] http://www.spiegel.de/netzwelt/netzpolitik/sicherheitsluecken-ccc-kritisier… | |
## TAGS | |
Bundesnachrichtendienst | |
Schwerpunkt Überwachung | |
Sicherheitslücken | |
NSA | |
Wlan | |
Schwerpunkt Überwachung | |
## ARTIKEL ZUM THEMA | |
Verbot von Verschlüsselung: Die Rückkehr der Krypto-Krieger | |
Verschlüsselte Kommunikation? Wenn der Staat im Notfall mitlesen darf. Wie | |
nach den Anschlägen von Paris eine alte Debatte ein Revival feiert. | |
Kommentar Netzpolitik in Deutschland: WLAN für alle? Denkste! | |
Die Bundesregierung will kein Internet für alle. Zumindest dann nicht, wenn | |
es per unverschlüsseltem Wlan daherkommt. | |
CCC-Kongress 31C3 in Hamburg: Volle Kraft voraus | |
Der Chaos Computer Club präsentiert sich auf seinem Kongress gestärkt. Der | |
31C3 ist politische Plattform, Hackspace und Spielplatz für tausende | |
Besucher. |