BND Opposition kritisiert Kauf von Sicherheitslücken

Rund 4,5 Millionen Euro will der Bundesnachrichtendienst (BND) auf dem Schwarzmarkt investieren, um Informationen über Software-Sicherheitslücken zu kaufen. Von der Opposition kam dazu heftige Kritik.

Der Bundesnachrichtendienst will angeblich Sicherheitslücken in Computerprogrammen aufkaufen, um sie für Spähaktionen zu nutzen. Quelle: dpa

Die Opposition hat Pläne des Bundesnachrichtendienstes (BND) kritisiert, Informationen über unerkannte Sicherheitslücken in Computerprogrammen anzukaufen und zur Überwachung zu nutzen. Sie warnte den BND davor, sich auf dem Schwarzmarkt Informationen über Schwachstellen in Computerprogrammen zu kaufen und durch deren weitere Nutzung die Sicherheit im Internet auszuhöhlen. Dabei geht es vor allem um die Überwachung verschlüsselter Internetverbindungen, wie sie etwa beim Onlinebanking, Internetshopping oder beim Verschicken von E-Mails eingesetzt werden. Dazu seien 4,5 Millionen Euro beantragt worden, um mit Hilfe externer Spezialisten verschlüsselte Verbindungen zu entschlüsseln.
Von der Opposition kam daraufhin heftige Kritik: "Der deutsche Auslandsnachrichtendienst darf sich nicht als Hehler betätigen", erklärte der Grünen-Politiker Konstantin von Notz. Statt Schwachstellen offenzuhalten, die auch von Kriminellen genutzt würden, müssten Bürger und Wirtschaft umgehend darüber informiert werden, um weiteren Schaden zu verhindern. Weder die Regierung noch der BND wollten sich unter Verweis auf die Geheimhaltung zu dem konkreten Vorwurf äußern.

Der "Spiegel" hatte berichtet, der BND wolle das Wissen über Einfallstore in Computerprogramme ankaufen, um sich Zugriff auf verschlüsselte Informationen zu verschaffen. Nach Einschätzung von Experten fördert dies jedoch den dubiosen Schwarzmarkt für solche Informationen im Internet und schadet der Sicherheit der Bürger. "Den Markt für Schwachstellen zu unterstützen, ist aus staatlicher Sicht eine extrem schlechte Idee", sagte der Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie, Michael Waidner, dem Magazin. "Das einzig Vernünftige, was man mit Schwachstellen machen kann, ist, sie zu beseitigen".

Auch der Grünen-Fraktionsvorsitzende Anton Hofreiter äußerte sich zu dem Thema. „Es ist völlig paradox, dass Sicherheitslücken bewusst offen gelassen und zurückgehalten werden, anstatt die Öffentlichkeit über diese zu informieren. Das darf nicht sein.“ Es sei kein Wunder, dass die Bürger das Vertrauen in informationstechnische Systeme verlören.

Linksparteichef Bernd Riexinger forderte ein Verbot solcher Praktiken. „Der Haushaltsausschuss sollte die Gelder sofort sperren und dem Familienministerium zur Aufstockung der Programme gegen rechts überschreiben“, sagte er.

Auch der Hackerverein Chaos Computer Club warf dem BND vor, Bürger und Unternehmen Gefahren durch Sicherheitslücken in Computerprogrammen auszusetzen. Diese Sicherheitslücken, genannt „zero day exploits“, werden teilweise von Hackern aufgespürt und auf einem unkontrollierten Markt gehandelt. Angreifer können die Lücken unter Umständen ausnutzen, um in Computer einzudringen. Auf diese Gefahr weist schon der Name hin: „zero days“ heißen so, weil Nutzer keine Zeit („null Tage“) haben, um sich vor einem Angriff zu schützen. Auch Kriminelle können die Schwachstellen entdecken und für ihre Zwecke ausnutzen.

In Arbeit
Bitte entschuldigen Sie. Hier steht ein Element, an dem derzeit noch gearbeitet wird. Wir kümmern uns darum, alle Elemente der WirtschaftsWoche zeitnah für Sie einzubauen.


Dass der BND solche Schwachstellen angeblich aufkaufen wolle, sei "inakzeptabel", kritisierte der Club. Er warf dem Nachrichtendienst vor, den Markt für Software-Fehler anzuheizen. „Der Anreiz würde weiter steigen, aufgespürte Sicherheitslücken im Geheimen zu handeln“, erklärte der CCC. Auf dem Schwarzmarkt würde das Wissen um die Schwachstellen „für sechs- bis achtstellige Euro-Beträge“ verkauft. „Gleichzeitig wird es Bürgern und Unternehmen erschwert, sich vor technischen Angriffen auf persönliche Daten oder Geschäftsgeheimnisse zu schützen“, betonte der Hackerverein. Sicherheitsexperten warnen immer wieder vor Gefahren durch unveröffentlichte Software-Lücken.

Fachleute werben dafür, Sicherheitslücken den Herstellern der Software mitzuteilen. Die können dann dafür sorgen, dass die Lücken gestopft werden. Unternehmen wie Google oder Microsoft schreiben Geld für die Jagd nach Schwachstellen aus. Google startete im Sommer das „Project Zero“, um selbst Sicherheitslücken in Software aufzudecken.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%