Die Bundesregierung hat bestätigt, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dem französischen Software-Unternehmen Vupen zusammengearbeitet hat, um an Informationen über unbekannte Lücken in Computerprogrammen zu gelangen. Nach Angaben des Innenministeriums wurde die Zusammenarbeit allerdings im September beendet. Ein Sprecher des Ministeriums sagte in diesem Zusammenhang, die Erkenntnisse zu aktuellen Zero Day Exploits seien vor allem für den Schutz der Regierungsnetze und nicht zur Weitergabe an Dritte erworben worden.

Einen Spiegel-Bericht, wonach auch der BND mit Vupen zusammen arbeitet, bestätigte der Sprecher nicht. Das Magazin hatte unter Berufung auf geheime Unterlagen berichtet, der Geheimdienst habe Informationen zu Sicherheitslücken eingekauft, um künftig die im Internet bei der Datenübertragung an Websites übliche Verschlüsselung SSL umgehen zu können. Den Informationen des Magazins zufolge ist das Projekt Teil der "Strategischen Initiative Technik" und trägt den Titel Nitidezza, was Italienisch für Bildschärfe ist.

Auf Anfrage will man sich beim BND zu der Frage, ob über Vupen oder ein anderes Sicherheitsunternehmen Informationen zu Zero Day Exploits eingekauft wurden, nicht äußern. Mit Blick auf den Inhalt des Spiegel-Berichts fällt die Antwort nur allgemein aus. Zentrales Element der "Strategischen Initiative Technik" sei "der Aufbau eines Frühwarnsystems, welches Deutschland erstmals in die Lage versetzen wird, Angriffe auf die deutsche IT-Infrastruktur zu erkennen, bevor diese wirksam werden und Schaden anrichten können", heißt es in einem Statement des Geheimdienstes. Nähere Details zu den einzelnen Maßnahmen unterlägen der Geheimhaltung: "Hierzu berichtet der BND ausschließlich der Bundesregierung und den zuständigen Gremien des Deutschen Bundestages."

Opposition und CCC warnen vor Kauf von Informationen

Auch wenn offiziell nur das BSI mit Vupen zusammengearbeitet hat, warnt die Opposition insbesondere den BND vor dem Kauf von Informationen zu Zero Day Exploits. "Der deutsche Auslandsnachrichtendienst darf sich nicht als Hehler betätigen", sagte der Grünen-Politiker Konstantin von Notz . Statt Schwachstellen offen zuhalten, die auch von Kriminellen genutzt würden, müssten Bürger und Wirtschaft umgehend über sie informiert werden, um weiteren Schaden zu verhindern.

Kritik kommt auch vom Chaos Computer Club (CCC). Der Kauf von Informationen zu Sicherheitslücken durch Behörden sei "inakzeptabel", teilte der CCC mit. Software-Schwachstellen seien eine Gefahr für Bürger und Unternehmen. Zudem würde ein solches Vorgehen den Markt für Software-Fehler anheizen. "Der Anreiz würde weiter steigen, aufgespürte Sicherheitslücken im Geheimen zu handeln." Auf dem Schwarzmarkt werde das Wissen um die Schwachstellen "für sechs- bis achtstellige Euro-Beträge" verkauft. Vor diesem Hintergrund müsse der Kauf solcher Informationen durch deutsche Behörden verboten werden, fordert der Club.

Die Suche und der Verkauf von Zero Day Exploits gehört zu einem zentralen Geschäftsfeld von Vupen. Auf der eigenen Webseite wirbt das Unternehmen mit Informationen zu Sicherheitslücken, die "speziell für kritische und offensive Cyber-Operationen" genutzt werden können. Der Handel mit solchen Informationen ist nicht grundsätzlich illegal, gilt aber als Grauzone. Neben Vupen sind auch andere Unternehmen in dem Bereich – die französische Firma gilt allerdings als führend.