Überwachung mittels Zero-Day-Exploits
Posted on So 16 April 2017 in Blog
In letzter Zeit häufen sich Leaks von amerikanischen Geheimdiensten. Nach der CIA (Vault 7:sup:`1 <#sdfootnote1sym>`__) hat es jetzt (wieder) die NSA:sup:`2 <#sdfootnote2sym>`__ erwischt. Wie üblich versuchen die Programme der Geheimdienste Zero-Day-Exploits:sup:`3 <#sdfootnote3sym>`__ auszunutzen, d.h. dem Hersteller noch unbekannte Sicherheitslücken.
Für dies Zero-Day-Exploits gibt es auch im Internet Verkaufsplattformen:sup:`4 <#sdfootnote4sym>`__. Und unter andere auf solchen Plattformen könnte sich der Staat Österreich in Zukunft bedienen, um den, von der Regierung gewünschten, „Bundestrojaner“ umzusetzen. Im Internet werden teilweise Unsummen:sup:`5 <#sdfootnote5sym>`__ für Zero-Day-Exploits gezahlt. Da erscheint es mehr als bedenklich, wenn dann Staaten Kriminelle unterstützen, um dann die eigen Bürger überwachen zu können.
Zusätzlich gibt es einen Punkt, der dem eigenen Staat wesentlich höheren finanziellen Schaden zufügen kann, als die Kosten für den Erwerb eines Exploits. Und zwar das Nicht-Melden einer Sicherheitslücke an den Hersteller.
Nehmen wir als Beispiel der Staat Österreich will die kriminelle Person A mit einem „Bundestrojaner“ überwachen. Person A setzt vornehmlich Software Z ein. Diese Software wird allerdings nicht nur von Person A eingesetzt, sondern ist in Österreich sehr weitverbreitet. Sogar im Einsatz bei Österreichs Industrieunternehmen. Diese Industrieunternehmen sind natürlich darauf bedacht, da sie viel Geld und Know-How in Forschung und Entwicklung stecken, ihre Firmengeheimnisse bestmöglich zu schützen. Jetzt erlangt der Staat Österreich Kenntnis, sei es durch eigene Forschung oder Erwerb des Zero-Day-Exploits, über eine Schwachstelle in der Software Z. Nun würde man als Bürger natürlich erwarten, dass der Staat in diesem Fall seine Bürger und Industrieunternehmen schützt und die Sicherheitslücke meldet bzw. gemeinsam mit dem Hersteller beseitigt. Stattdessen freut sich der Staat endlich Person A richtig überwachen zu können und lässt kritische Sicherheitslücken ungesichert zurück.
Was bedeutet das?
Gerade wenn man Zero-Day-Exploits erwirbt ist mit ziemlicher Sicherheit davon auszugehen, dass man nicht die einzige Organisation ist, die über die Lücke Bescheid weiß. Das bedeutet andere Personen/Organisationen könnten diese Lücke für ihre Interessen, z.B. Wirtschaftsspionage, einsetzen und ausnutzen. Und selbst wenn man durch eigenes Geschick Lücken findet ist es sehr unwahrscheinlich das einzige Land zu sein und zu bleiben, welches auf Dauer Kenntnis über die Lücke hat und setzt damit früher oder später die eigene IT-Infrastruktur einem Risiko aus.
Die Schwächung der IT-Infrastruktur kann und darf nie das Ziel des Sicherheitsapparats eines Landes sein.
Diese Geschichte hört sich wie erfunden an, aber es gibt mittlerweile ja schon einige Beispiele, die belegen, dass staatliche Organisationen die eigene IT-Infrastruktur bewusst einem Risiko ausetzen:sup:`6 <#sdfootnote6sym>`__
Weitere Informationen gibt es dazu auch bei epicenter.works: https://epicenter.works/thema/bundestrojaner
Fußnoten