NSAGeheimdienste lassen sich Sicherheitslücken liefern

Tausende US-Firmen tauschen angeblich Informationen über Schwachstellen in ihren Produkten gegen Geheimdienstwissen. Behörden können das für Angriffe nutzen. von 

US-Technologie-Unternehmen stellen der NSA nicht nur Nutzerdaten zur Verfügung, wie die Enthüllungen von Edward Snowden belegen. Sie melden den US-Geheimdiensten auch Sicherheitslücken ihrer Produkte, bevor sie diese Informationen veröffentlichen. Das berichtet die Nachrichtenagentur Bloomberg unter Berufung auf Informanten, die mit den Vorgängen vertraut sein sollen. Diesen Wissensvorsprung können die US-Behörden nutzen, um in Netzwerke und Computer einzudringen, bevor es ein Sicherheitsupdate durch den Anbieter gibt.

Zero-Day-Attacken heißen solche Angriffe, weil sie praktisch sofort nach der Entdeckung einer Sicherheitslücke stattfinden. Das Wissen um solche Sicherheitslücken ist zu einem begehrten Handelsgut geworden.

Anzeige

So hieß es in einem Reuters-Bericht vor einigen Wochen: "Viele talentierte Hacker, die früher zunächst ein Unternehmen wie Microsoft alarmierten, wenn sie in dessen Produkten eine Sicherheitslücke entdeckten, verkaufen diese Information mittlerweile an den Höchstbietenden – manchmal über Zwischenhändler, die den letztlichen Käufer niemals treffen. Militär und militärische Dienstleister geben zig Millionen Dollar im Jahr für solche Informationen aus." Und zwar nicht zur Abwehr, sondern zum Angriff auf fremde Computer. Im Extremfall für ausgefeilte Attacken wie mit Stuxnet.

50.000 US-Dollar oder mehr bringt der Verkauf einer Zero-Day-Schwachstelle, heißt es im Reuters-Bericht. Solche Summen zahlen nur Kriminelle und Regierungen. Das Nachsehen haben Unternehmen: Microsoft und Apple bezahlen gar nichts für solche Funde, weil sie niemanden zusätzlich motivieren wollen. Facebook, Mozilla, Google und andere haben sogenannte Bug-Bounty-Programme, in denen sie Belohnungen für entdeckte Sicherheitslücken ausloben. Google hat zum Beispiel gerade erst beschlossen, mehr als bisher zu zahlen. 50.000 Dollar für eine Lücke hat aber auch Google noch nie gezahlt.

Patrick Beuth
Patrick Beuth

Patrick Beuth ist Redakteur im Ressort Digital bei ZEIT ONLINE. Seine Profilseite finden Sie hier.

Es sind nicht nur Hacker, die ihre Funde weitergeben. Laut Bloomberg werden die US-Behörden auch direkt von den Unternehmen beliefert, wenn deren eigene Sicherheitsspezialisten eine Schwachstelle entdecken. Im Tausch dafür bekommen die Unternehmen Zugang zu Geheimdienstinformationen, heißt es in dem Bericht. Und sie stellen sich auf diese Weise gut mit der Regierung, aus Überzeugung oder aus geschäftlichen Interessen. 

Nur wenige Mitarbeiter hätten Einblick in diese Vorgänge, oft würden die Verhandlungen direkt zwischen den Vorständen und Spitzenvertretern der Behörden geführt.

Zu den sogenannten "vertrauenswürdigen Partnern" von NSA, CIA, FBI und militärischen Einheiten zählen unter anderem Hersteller von Hardware und Software, Banken, Antivirenspezialisten und Firmen aus dem Bereich der Satellitenkommunikation.

Leserkommentare
    • vyras
    • 14. Juni 2013 17:10 Uhr

    ... der Tatsache, dass die NSA ein "Lebensbuch" für alle Internetnutzer führt, in das sie nach Belieben hereinschauen kann, und von dem niemand weiß, wozu die Informationen morgen benutzt werden, noch weniger Menschen zu politisch kontroversen Themen wie diesem kommentieren und bewerten.

    Vielleicht liegt es ja auch an dem schönen Wetter. Und danke für den informativen Artikel.

    3 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    ist es bei vielen der pure Schock angesichts des tatsächlichen Ausmaßes der Spionage, oder aber bereits Resignation.

    Ex-Verschwörungstheoretiker (also Leute, die schon länger von derartigen Praktiken ausgegangen waren) sind dagegen langsam erschöpft davon, in den letzten Tagen allzu oft "I told you so" in die Kommentarfunktionen getippt zu haben, als Rache fürs jahrelange belächelt-werden. :)

    Bereits 2003 kam heraus, dass die NSA in Zusammenarbeit mit AT&T den Internet Traffic dessen Kunden in der San Francisco Region im grossen Stil absaugte. Damals hatte das kaum öffentliches Aufsehen gemacht. Die Electronic Frontier Foundation, eine privacy Bürgerrechts-Organisation klagte daraufhin. Nach mehreren, eskalierenden Klagen wurde AT&T 2011, also nach 8 Jahren weiterer Uberwachung rückwirkend (!) und abschliessend freigesprochen, obwohl sie ganz massiv gegen die Rechte ihrer Kunden gearbeitet haben. Wenn ich meine grösstenteils hinreichend gebildeten, politisch links orienterten und systemkritischen Bekannten nach ihrem Internetprovider frage, sagt ein grosser Anteil: AT&T - und dass obwohl sie nicht nur allen ihren Traffic an die NSA weiterleiten, sondern auch noch rechte Politik mit grossen Spenden unterstützen.

    Tja, da ist alle Hoffnung verloren.

    Interessanterweise ist das AT&T Bürogebäude in dem es den "Room 641A" gab, weniger als 2 km von meiner Wohnung entfernt. Mehr dazu hier:

    http://en.wikipedia.org/w...

    Der Präsident Obama ist das beste Beispiel dafür, dass der Staat nicht an Kriminalität oder Bewahrung der Freiheit interessiert ist, sondern an der puren Kontrolle seiner Bürger - wie Big Brother.

    Gegen Kriminelle, Rassisten u.ä. wird die Überwachungskeule nicht gezückt, da müssen die Bürger schon selbst recherchieren wie im Falle der Rassistin Taylor Chapman:
    http://hassmenschen.blogs...

    Wenigstens ein Gutes hat diese Technik.

  1. ist es bei vielen der pure Schock angesichts des tatsächlichen Ausmaßes der Spionage, oder aber bereits Resignation.

    Ex-Verschwörungstheoretiker (also Leute, die schon länger von derartigen Praktiken ausgegangen waren) sind dagegen langsam erschöpft davon, in den letzten Tagen allzu oft "I told you so" in die Kommentarfunktionen getippt zu haben, als Rache fürs jahrelange belächelt-werden. :)

    3 Leserempfehlungen
  2. Mich irritiert, dass immer wieder über Firmen, nun über Hacker, und über ein Ausspionieren beziehungsweise Missbrauch von persönlichen Daten gesprochen wird. Denn eigentlich gibt es nur ein Thema und das lautet: NSA (und ähnliche Institutionen). Das, was sie tun, war vor einigen Jahren noch nur als kriminell gebrandmarkt worden. malware und Spionagesoftware jeglicher Art wurde als großes Problem bezeichnet. Was hat sich geändert? Oder was führte dazu, dass aus dem ohnehin fragwürdigen Verhältnis zu Geheimdiensten nun ein neutral-resignatives wurde?

    [...]

    Bitte verzichten Sie auf Pauschalisierungen und Verschwörungstheorien. Danke, die Redaktion/fk.

    Eine Leserempfehlung
    Reaktionen auf diesen Kommentar anzeigen

    Kritik an der Moderation richten Sie gerne an community@zeit.de. Danke, die Redaktion/jk

  3. ...kann ich noch gar nicht fassen!

    Dachte ich jahrelang vergleichsweise vielleicht etwas paranoid zu sein, muss ich nun feststellen dass ich noch viel zu naiv gewesen bin.

    Sicher ist: mein Umgang mit dem Medium Internet wird sich weitreichend und nachhaltig ändern.

    Schlimmer ist: mein Vertrauen in den Schutz meiner Persönlichkeitsrechte ist zutiefst erschüttert (hört sich dramatisch an und ist es auch).

    5 Leserempfehlungen
  4. Minenbleistifte können bei zu dünen Minen, pro Daumendruck, zu viel Mine herausschieben. Das führt unweigerlich zu einem Minenabbruch. Pelkan Staedtler und andere namhafte Unternehmen sind schon lange im Bilde, haben den BND darüber aber noch nicht über einen offenen Brief in den gängigen Medien informiert. Oder ich habe ihn überlesen.

    http://www.youtube.com/wa...

    PS: "Bitte verzichten Sie auf Pauschalisierungen und Verschwörungstheorien..."
    Der war gut.

    Eine Leserempfehlung
  5. 6. [...]

    Kritik an der Moderation richten Sie gerne an community@zeit.de. Danke, die Redaktion/jk

  6. "Solche Summen zahlen nur Kriminelle und Regierungen" - da wäre schon das Nötigste gesagt.

    2 Leserempfehlungen

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf einer Seite lesen
  • Quelle ZEIT ONLINE
  • Schlagworte Google | Microsoft | CIA | Bloomberg | Edward Snowden | NSA
Service