Millionen für den Hacker-Schwarzmarkt BND will sichere Internet-Verschlüsselungen aushebeln
News folgen300 Millionen Euro will der Bundesnachrichtendienst bis zum Jahr 2020 in "Strategische Initiative Technik" (SIT) investieren. Dabei hat der BND die Verschlüsselungstechniken SSL und HTTPS im Visier. Diese Techniken sollen eigentlich die sichere Übertragung sensibler Daten garantieren, etwa beim Online-Shopping oder bei Bankgeschäften. Mehrere Sicherheitsexperten schlagen Alarm.
Laut dem Nachrichtenmagazin "Spiegel" will der BND unter anderem in Hacker-Kreisen entdeckte Sicherheit-Lücken einkaufen. Allerdings nicht, um diese zu schließen, sondern um sie für Spionagezwecke zu nutzen. So will der BND in den kommenden Jahren 4,5 Millionen Euro in den Kauf von Sicherheitslücken investieren. Er habe dabei vor allem solche Software-Schwachstellen im Visier, mit denen sich die SSL-Verschlüsselung aushebeln lässt.
Die Berichte decken sich mit denen der "Süddeutschen Zeitung". Das Blatt berichtete, dass der deutsche Geheimdienst diese Verschlüsselung knacken will, um damit geschützte Daten ausspähen zu können. Insgesamt habe der BND laut der Zeitung für 2015 ein Budget von 28 Millionen Euro für SIT beantragt.
SSL ist die Grundlage des sicheren Online-Handels
Die "Secure Socket Layer" genannte Verschlüsselung ist das Fundament des sicheren Surfens und Online-Handels. Banken, Shopping-Seiten aber auch Online-Netzwerke verwenden SSL, um Kundendaten und Login-Informationen bei der Übertragung über das Internet gegen Ausspähung zu schützen.
SSL arbeitet in zwei Stufen. In der ersten Stufe authentifizieren sich die an der Datenübertragung beteiligten Stellen mit einem Sicherheitszertifikat. Danach werden Schlüsselgruppen erzeugt, mit denen die Daten für die Übertragung verschlüsselt werden. Fängt ein Angreifer die Übertragung zwischen Sender und Empfänger ab, bekommt er nur für ihn unlesbaren und damit nutzlosen "Datenmatsch". Genau das will der BND für seine Zwecke ändern.
CCC: BND gefährdet Sicherheit im Internet
Der Chaos Computer Club (CCC) kritisiert diese Pläne als inakzeptabel und "an Dreistigkeit kaum zu überbieten". Der Geheimdienst wolle hinterrücks in Computer eindringen, indem er kritische Sicherheitslücken missbraucht, die auch Kriminellen einen Angriffspunkt bieten. Damit werde es Bürgern und Unternehmen gleichzeitig erschwert, sich vor technischen Angriffen auf persönliche Daten oder Geschäftsgeheimnisse zu schützen.
Dirk Engling, Sprecher des CCC, warnte vor diesem Vorhaben: "Wenn auch deutsche Geheimdienste diesen Schwarzmarkt mit unseren Steuergeldern noch anheizen, würde das erhebliche Folgekosten für die Wirtschaft haben, die schon heute kaum hinterherkommt, ihre technische Infrastruktur gegen Angriffe zu verteidigen."
Sicherheitslücken schnellstens schließen
Der CCC warnt weiter davor, dass durch diesen staatlich subventionierten Einkauf von Sicherheitslücken ein Anreiz geschaffen würde, aufgespürte Sicherheitslücken nicht publik zu machen, sondern stattdessen im Geheimen zu handeln oder sogar gezielt vermeintlich harmlose Fehler in kritische Softwarekomponenten einzubauen und diese dann nach einiger Zeit den Diensten und ihren Partnerfirmen zu verkaufen.
Der CCC forderte, den Kauf der Sicherheitslücken durch deutsche Behörden zu verbieten und sie zudem dazu zu verpflichten, die Sicherheitslücken zu veröffentlichen, die sie bereits erworben oder erkannt haben. Sicherheitslücken müssen laut CCC nach der Entdeckung umgehend geschlossen und nicht ge- und verkauft und dadurch lange geheim gehalten werden.
SIT hat auch soziale Netzwerke im Visier
Mit den 300 Millionen Euro, die bis 2020 in SIT investiert werden sollen, will der BND aber auch unter anderem soziale Netzwerke im Ausland überwachen und ein Frühwarnsystem für Cyberangriffe einrichten. In diesem Jahr seien für die Vorbereitung bereits gut sechs Millionen Euro ausgegeben worden.
Außerdem sollen auch Internet-Knotenpunkte und Vermittlungsstellen im Ausland angezapft und Daten abgefangen werden. In dieses Programm, dass der BND laut dem Zeitungsbericht unter dem Namen "Swop" betreibt, will der Geheimdienst im kommenden Jahr 4,5 Millionen Euro investieren.
Bundesregierung verteidigt die Suche des BND nach IT-Sicherheitslücken
Regierungssprecher Steffen Seibert erklärte am Montag, Ziel der Bundesregierung sei es, die Abhängigkeit von ausländischen Dienstleistern im Bereich IT-Sicherheit weiter zu reduzieren. "Es trifft zu, dass der BND plant, seine vorhandene technische Basis zu stärken", fügte Seibert hinzu. Das zentrale Element dieser Initiative sei der Aufbau eines Frühwarnsystems für Cyber-Angriffe.
Bestätigt wurde dabei auch die Zusammenarbeit des Bundesnachrichtendienstes (BND) mit der französischen Software-Sicherheitsfirma Vupen. Deren Spezialität ist es, Geheimdiensten und Sicherheitsbehörden in Software entdeckte Sicherheitslücken zur Verfügung zu stellen. Die mittlerweile beendete Zusammenarbeit habe vor allem dem Schutz der Regierungsnetze und nicht zur Weitergabe an Dritte gedient.
