BND will SSL-Lücken kaufen

Wie das Nachrichtenmagazin Der Spiegel berichtet, will der Bundesnachrichtendienst (BND) bis 2020 rund 4,5 Millionen Euro für den Einkauf von Sicherheitslücken eingeplant haben. Unter anderem sollen sogenannte Zero Day Exploits für SSL-Verschlüsselungen auf der Einkaufsliste stehen. Zero Day Exploits sind Sicherheitslücken, die den offiziellen Entwicklern nicht bekannt sind. Sie werden auf grauen Märkten unter Cyberkriminellen gehandelt, die damit ihre Angriffe im Netz starten. Genau dort soll auch der BND die eingeplanten Steuergelder investieren.

Neu ist die staatliche Investition in Sicherheitslücken keineswegs. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) dem Nachrichtenmagazin berichtete, soll bis September 2014 ein Vertrag mit dem französischen IT-Unternehmen Vupen bestanden haben, das als Weltmarktführer für Software-Schwachstellen gelte.

Michael Waidner, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie, hält das Vorhaben für sehr fragwürdig: "Den Markt für Schwachstellen zu unterstützen, ist aus staatlicher Sicht eine extrem schlechte Idee". Jeder Exploit stelle für die eigenen Bürger und Unternehmen ein großes Risiko da, weil unbekannt sei, wer alles die Informationen zu den Schwachstellen gekauft habe.

In jüngster Vergangenheit haben die SSL-Sicherheitslücken Heartbleed und Poodle für Unmut in der IT-Welt gesorgt. Bugs und Fehler in der SSL-Verschlüsselung sind deshalb so kritisch, weil ein Großteil des Online-Shoppings und Online-Bankings über das vermeintlich sichere Netzwerkprotokoll getätigt wird.