BND will Informationen über Software-Sicherheitslücken einkaufen

Erstveröffentlicht: 
09.11.2014

Der Bundesnachrichtendienst (BND) will die verschlüsselte Datenübertragung im Internet auswerten und dafür Werkzeuge auf dem grauen Markt für Software-Schwachstellen einkaufen. Der Auslandsnachrichtendienst hat bis 2020 rund 4,5 Millionen Euro eingeplant, um beispielsweise die gängige Transportverschlüsselung SSL zu knacken. Mit deren Hilfe wickeln unter anderem große Shoppingportale und Banken ihre vermeintlich sicheren Onlinegeschäfte ab. Um SSL zu umgehen, will der BND Informationen über Software-Schwachstellen, etwa sogenannte "Zero Day Exploits", einkaufen. Dabei handelt es sich um Programmierfehler, die es Hackern ermöglichen, etwa in ein Betriebssystem einzudringen, um Daten auszuspähen und zu manipulieren. Der Markt für derartige Schwachstellen boomt seit einigen Jahren.

 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilte auf Anfrage mit, es habe "bis September 2014" einen Vertrag mit der französischen Firma Vupen unterhalten. Sie gilt als Weltmarktführer für Software-Schwachstellen. Zweck des Vertrages, so das BSI, sei "ausschließlich der Schutz der Regierungsnetze" gewesen. "Den Markt für Schwachstellen zu unterstützen, ist aus staatlicher Sicht eine extrem schlechte Idee", sagt Michael Waidner, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie. Jede Lücke sei für die eigenen Bürger, Behörden und Unternehmen ein großes Risiko, da niemand wisse, wer alles das Wissen um Schwachstellen kaufe.