Zero Day Exploits heißen Lücken in Computerprogrammen, die noch nicht öffentlich bekannt sind. Wer von einer solchen weiß, kann sie somit ausnutzen und anderen Schaden zufügen, da es noch keine Abwehr dagegen gibt. Entsprechende Firmen handeln schon lange mit solchen Sicherheitslücken und lassen sich ihr Wissen teuer bezahlen, durchaus auch von Kriminellen. Die NSA ist Teil dieses Geschäftes. Nun will auch der BND mitmachen.

Im vergangenen Jahr wurde bekannt, dass die NSA Millionen dafür ausgibt, um auf dem freien Markt Informationen über Softwarelücken zu kaufen. Die Washington Post schrieb, allein 2013 habe der Geheimdienst 25 Millionen Dollar für solche Exploits gezahlt.

Das heißt nicht, dass die Spione die Lücken bei Kriminellen kaufen. Es gibt viele Sicherheitsfirmen, die sich mit diesem Thema befassen. Aber der Handel damit ist ein zumindest grauer Markt. Schließlich gibt es nur wenige Käufergruppen: eben Geheimdienste, die betroffenen Firmen selbst und Kriminelle.

Wie der Spiegel nun berichtet, will der BND in Zukunft dabei mitspielen. Unter Berufung auf geheime Unterlagen schreibt das Magazin, der BND habe es sich zum Ziel gesetzt, die im Internet bei der Datenübertragung an Websites übliche Verschlüsselung SSL zu umgehen. Das Projekt mit dem Titel Nitidezza, was italienisch für Bildschärfe ist, ist demnach Teil der "Strategischen Initiative Technik". Dafür seien insgesamt 4,5 Millionen Euro eingeplant. Im Rahmen des Projektes wolle der Geheimdienst auch auf eben solche Zero Day Exploits setzen.

Die Strategische Initiative Technik ist ein Programm zur Modernisierung des BND. Ursprünglich wollte der Dienst dafür 300 Millionen Euro haben, um mit anderen Geheimdiensten "auf Augenhöhe" arbeiten zu können. Der Haushaltsausschuss hat vorerst sechs Millionen Euro bewilligt. Das Ganze ist aber noch nicht vollständig entschieden.   

"Gefahr für die eigenen Bürger"

Das Einkaufen von Zero Day Exploits ist dabei aus Sicht des BND nachvollziehbar, aus Sicht der normalen Nutzer im Netz aber eine schlechte Idee. Denn damit steigt der Anreiz für Entwickler und spezialisierte Firmen, solche Lücken nicht zu beseitigen, sondern sie zu verkaufen, damit sie ausgenutzt werden können. Sehenden Auges wird dabei die Sicherheit der Nutzer geopfert, um Geld zu verdienen.

Der Spiegel zitiert Michael Waidner, den Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie, mit den Worten: "Den Markt für Schwachstellen zu unterstützen, ist aus staatlicher Sicht eine extrem schlechte Idee." Jede Lücke sei für die eigenen Bürger, Behörden und Unternehmen ein großes Risiko, da niemand wisse, wer alles das Wissen um solche Schwachstellen kaufe.