iOS-Exploits werden am teuersten gehandelt

Interessant für IT-Security-Spezialisten ist allerdings, was im Darknet in Sachen Daten- und Exploit-Handel abgeht. Hier sei ein ausgeklügelter Markt entstanden, so Ruef, in dem auch Online-Identitäten gehandelt würden. So koste der Scan eines Passes 38 US-Dollar. Eine gestohlene, physische Kreditkarte samt PIN gehe hingegen für 80 Dollar über den Darknet-Tresen, nur für die Kreditkartennummer ohne Details werden lediglich 60 Cent geboten.

Richtig teuer wird es beim Handel von Exploits, also noch unbekannten Sicherheitslücken, deren automatische Funktionsweise aber unter Beweis gestellt wurde. Auch hier würden marktwirtschaftliche Prinzipien herrschen, so Ruef. So gibt es Lücken in Programmen, die tendenziell billiger werden. Zu diesen zählen etwa Exploits für Adobe Acrobat und Flash, aber auch Java-Lücken werden in Zukunft günstiger zu haben sein. Billig sind aber auch diese Löcher nicht: Zwischen 40.000 und 100.000 Dollar wird für eine Java-Lücke bezahlt. Richtig ins Geld können Windows-Exploits gehen. Hier werden bis zu einer Viertel Million Dollar fällig, Tendenz steigend.

Immer populärer werden laut Ruef zudem Sicherheitslücken für Browser. Doch die Trophäe holt sich das Smartphone-Betriebssystem Apple iOS. Unter 100.000 Dollar sei hier kein Exploit zu haben, berichtet Ruef. Und es werden mittlerweile Höchstpreise von einer Million Dollar geboten, Tendenz auch hier steigend. "Wir wissen nicht, wann das aufhört, schätzen aber, dass bis im nächsten Jahr zwei Millionen Dollar für einen iOS-Exploit bezahlt werden könnten", schätzt Ruef. Für ihn ist deshalb auch klar, wer die Kunden derart teurer Exploits sind: "Meist kaufen Nachrichtendienste diese."