Überwachung: Der BND will Zero-Day-Exploits für 4,5 Millionen kaufen

Update Andreas Frischholz
94 Kommentare
Überwachung: Der BND will Zero-Day-Exploits für 4,5 Millionen kaufen
Bild: Eigenes

Um Verschlüsselungsverfahren wie etwa das SSL-Protokoll aushebeln zu können, will der Bundesnachrichtendienst (BND) künftig Zero Day Exploits einkaufen. Bis zum Jahr 2020 sollen 4,5 Millionen Euro in das Projekt fließen, berichtet der Spiegel in der aktuellen Ausgabe.

Der BND ist derweil nicht die einzige Behörde aus Deutschland, die an dem Kauf von Sicherheitslücken interessiert ist. Auf Anfrage des Spiegel hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärt, dass es „bis September 2014“ einen Vertrag mit dem Sicherheitslückenhändler Vupen unterhalten habe. Ziel der Maßnahme sei aber „ausschließlich der Schutz der Regierungsnetze“, so das BSI.

Vupen gilt beim Handel von Software-Schwachstellen als Weltmarktführer, bei dem unter anderem auch die NSA Informationen über Zero-Day-Exploits eingekauft haben soll. Dass Geheimdienste und andere Sicherheitsbehörden Millionensummen für Sicherheitslücken ausgeben, ist allerdings äußerst umstritten.

Michael Waidner, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie, sagte dem Spiegel: „Den Markt für Schwachstellen zu unterstützen, ist aus staatlicher Sicht eine extrem schlechte Idee.“ Weil niemand wisse, wer sonst noch Informationen über eine bestimmte Sicherheitslücke erhalte, könne diese auch für „die eigenen Bürger, Behörden und Unternehmen ein großes Risiko“ darstellen.

So ist das vom BND anvisierte SSL-Protokoll etwa eine gängige Methode, um die Datenübertragung von E-Mails sowie beim Online-Banking und -Shopping zu schützen. Sicherheitslücken, mit denen sich die Verschlüsselung knacken lässt, sind dementsprechend nicht nur für den Geheimdienst, sondern auch für Internet-Kriminelle äußerst lukrativ.

Seit geraumer Zeit ist bekannt, dass der BND bei der Internet-Überwachung aufrüsten will. Neben dem Ausnutzen von Sicherheitslücken ist im Rahmen der „Strategischen Initiative Technik“ (SIT) unter anderem geplant, soziale Netzwerke in Echtzeit auszuforschen. Doch die für das Projekt veranschlagten 300 Millionen Euro hat der Bundestag bislang noch nicht bewilligt.

Update

Dass nun auch der BND Zero-Day-Exploits einkaufen und ausnutzen will, wird vom Chaos Computer Club (CCC) scharf kritisiert. Denn aufgrund der Logik von Schwarzmärkten für Zero-Day-Exploits hätten Geheimdienste ein Interesse, dass „eklatante Sicherheitslücken möglichst lange unentdeckt bleiben, während sie gleichzeitig nicht sicherstellen können, dass die gleiche Sicherheitslücke nicht auch von Kriminellen entdeckt oder parallel an diese verkauft wird“. Wenn diese Märkte nun auch noch von deutschen Geheimdiensten angeheizt werden, habe „das erhebliche Folgekosten für die Wirtschaft, die schon heute kaum hinterherkommt, ihre technische Infrastruktur gegen Angriffe zu verteidigen“, sagte CCC-Sprecher Dirk Engling.

Handel mit Sicherheitslücken nur eines von mehreren BND-Projekten

Die für das Projekt notwendigen Mittel hat das Vertrauensgremium im Bundestag allerdings nach wie vor nicht bewilligt, berichten NDR, WDR und Süddeutsche Zeitung (SZ). Demnach will der BND im kommenden Jahr insgesamt 28 Millionen Euro in verschiedene SIT-Projekte investieren, um den Ausbau der Internet-Überwachung voranzutreiben.

Neben dem Einkauf von Zero-Day-Exploits, der unter dem Codenamen Nitidezza läuft, plant der BND etwa ein Projekt mit dem Codenamen Swop, bei dem der Geheimdienst sich einen heimlichen Zugang zu einer Vermittlungsstelle im Ausland verschaffen will, um dort den Datenverkehr abzugreifen. Die Kosten sollen ebenfalls bei 4,5 Millionen Euro liegen. Zudem soll unter dem Codenamen Viper die Erfassung von IP- und Metadaten verbessert werden. Dieses Projekt soll im kommenden Jahr anlaufen und bis 2020 rund 38 Millionen Euro veranschlagen.

Dem Bericht von NDR, WDR und SZ zufolge sollten die Bundestagsabgeordneten bereits in der letzten Woche über die SIT-Pläne abstimmen. Aufgrund von Unklarheiten über die vom BND vorgelegten Unterlagen wurde die Entscheidung allerdings verschoben. Das nächste Treffen des Vertrauensgremiums findet am Mittwoch statt, dann sollen die Abgeordneten erneut über die einzelnen Projekte beraten.