Staaten kaufen Software-Löcher

Die klassische Rüstungsindustrie muss derzeit Federn lassen. Wie das Stockholm International Peace Research Institute (Sipri) in seiner jüngsten Untersuchung der 100 umsatzstärksten globalen Waffenschmieden errechnet hat, hätten diese 2011 rund fünf Prozent weniger umsetzen können als ein Jahr zuvor. Boomen würde dagegen das Geschäft mit Cyberwarfare und -security, schreibt das Institut in einer heute verffentlichten Medienmitteilung. Diese Umorientierung des militärisch-industriellen Komplexes auf den Cyberkrieg hat denn auch Folgen, wie die MIT Technology Review in ihrem jngsten Bericht schreibt. So fördern die Bemühungen der US-Regierung, neue Computerwaffen zu entwickeln, einen regelrechten Schwarzmarkt für Zero-Day-Lücken. Dies sind Sicherheitslücken, die existieren, aber noch nicht öffentlich bekannt und schon gar nicht gepatcht sind.

Demnach werden für die Lücken, über die sich beispielsweise Malware in feindliche Systeme schleusen lässt, immer höhere Preise bezahlt. Diese werden in Form eines einmaligen Betrags oder als eine Art Monatsgehalt überwiesen. Bei letzterer Variante wandert jeden Monat ein bestimmter Betrag auf das Konto des Hackers, bis die Zero-Day-Lücke vom Hersteller entdeckt und gepatcht wird. Dass Regierungen sich aktiv am Zero-Day-Lücken-Markt beteiligen, hat vor Kurzem ein Sicherheitsforscher aus Bangkok, der sich «The Grugq» nennt, bestätigt. Ihm zufolge hätten Regierungsstellen in den USA und in Europa sechsstellige Dollar-Beträge für von ihm entdeckte Sicherheitslücken geboten. Auch das Beispiel der französischen Sicherheitsfirma Vupen gibt zu denken: Diese hatte eine Lücke im Chrome-Browser entdeckt und die Wirkunsgweise öffentlich demonstriert. Google wollte daraufhin 60'000 Dollar zahlen, um das Loch durch einen Patch stopfen zu können. Doch das Angebot des Internet-Riesen wurde ausgeschlagen. Nun wird gemunkelt, dass wohl eine Regierung mehr gezahlt hat, um in den Besitz der Lücke zu kommen. Für Christopher Soghoian von der US-Bürgerrechtsbewegung ACLU (American Civil Liberties Union) zeigt der offensichtliche Handel mit den Sicherheitslöchern einmal mehr die Doppelzüngigkeit seiner Regierung: «Die US-Regierung warnt einerseits eindringlich vor den Cyber-Gefahren, beteiligt sich andererseits aber aktiv am globalen Markt für Software-Lücken und sorgt für eine Erhöhung der Preise». Doch nicht nur das Militär sei an den ungepatchten Löchern interessiert, auch Polizei und Justiz würden sich eindecken, wie Soghoian meint. Diese benutzten vor allem Lücken in mobilen Betriebssystemen, um beispielsweise Smartphones zu verwanzen. Deshalb würden derzeit auch für diese Art von Lücken grosse Summen gezahlt, zumal mobile Systeme weniger häufig Sicherheits-Updates erhielten und daher die Zero-Day-Löcher länger ungestopft blieben.