Wie der Spiegel in seiner aktuellen Ausgabe berichtet, will der Bundesdeutsche Geheimdienst BND künftig Informationen über Zero Day Exploits kaufen, um an verschlüsselte Informationen zu gelangen. Laut geheimen Unterlagen, auf die sich das Magazin beruft, sind hierfür von 2015 bis 2020 Ausgaben in Höhe von 4,5 Millionen Euro eingeplant.
Bei Zero Day Exploits handelt es sich um Sicherheitslücken in Computerprogrammen, die öffentlich unbekannt sind und deshalb noch nicht behoben wurden. Auf dem grauen Markt werden diese an den Meistbietenden verkauft. Hier mischen allerdings nicht nur – wie man vielleicht vermuten würde – Cyberkriminelle und Spione mit, sondern auch Unternehmen – sowohl auf Anbieter- als auch auf Käuferseite.
So ist die französische Firma Vupen der Weltmarktführer für Softwareschwachstellen. Auf Anfrage des Spiegels hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) angegeben, bis September 2014 einen Vertrag mit dem Unternehmen gehabt zu haben. Wie das BSI erklärte, sei allerdings „ausschließlich der Schutz der Regierungsnetze“ Zweck dieses Vertrags gewesen.
Nun will sich also auch der BND an dem Handel mit Sicherheitslücken beteiligen. Dazu wurde das oben genannte Projekt mit dem Codenamen Nitidezza (italienisch für Bildschärfe) ins Leben gerufen, das Teil der „Strategischen Initiative Technik“ ist. Ziel ist es, die im Internet bei der Datenübertragung übliche SSL-Verschlüsselung zu umgehen. Diese wird unter anderem beim Onlinebanking genutzt, um zu vermeiden, dass Dritte an sensible Informationen gelangen.
Bei der NSA gehören derlei Ankäufe schon seit längerer Zeit zur gängigen Praxis. Durch die Snowden-Affäre wurde bekannt, dass hierfür jährlich ein zweistelliger Millionenbetrag investiert wird. Die Strategische Initiative Technik ist ein Programm zur Modernisierung des BND. Offenbar wollte der Dienst ursprünglich 300 Millionen Dollar dafür haben, um mit anderen Geheimdiensten wie der NSA mithalten zu können. Der Haushaltsausschuss hat allerdings vorerst lediglich sechs Millionen Euro bewilligt.
Starke Kritik vonseiten der Experten
Das Projekt des BND wird von vielen Experten kritisiert. Im Spiegel wird Michael Waidner, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie zitiert: „Den Markt für Schwachstellen zu unterstützen, ist aus staatlicher Sicht eine extrem schlechte Idee“. Jede Lücke sei für die eigenen Bürger, Behörden und Unternehmen ein großes Risiko, da niemand wisse, wer alles das Wissen um solche Schwachstellen kaufe.
Der Chaos Computer Club (CCC) findet sogar noch klarere Worte und kritisiert die geforderte Ausnutzung von Schwachstellen als „schweren Grundrechtseingriff und als inakzeptabel“. Zudem äußert Dirk Engling, Sprecher des CCC, starke Bedenken in Bezug auf die wirtschaftlichen Folgen: „Wenn auch deutsche Geheimdienste diesen Schwarzmarkt mit unseren Steuergeldern noch anheizten, würde das erhebliche Folgekosten für die Wirtschaft haben, die schon heute kaum hinterherkommt, ihre technische Infrastruktur gegen Angriffe zu verteidigen."