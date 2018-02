Der perfekte iPhone-Hack sähe wohl so aus: Ein Gerät mit dem aktuellen Betriebssystem iOS 11 wird aus der Ferne komplett übernommen und kontrolliert, ohne dass der Besitzer etwas tun, bestätigen oder erlauben muss - und ohne, dass er etwas bemerkt. Ob dieser Hack überhaupt möglich ist, dürften im Moment nur wenige Menschen auf der Welt wissen. Bekannt ist nur der ungefähre Preis für die nötige Angriffstechnik, er liegt bei deutlich über zwei Millionen US-Dollar.

Auch die Überwindung der Sicherheitsmaßnahmen in Googles Chrome-Browser wäre eine teure Angelegenheit. Eine Million Dollar kann sie kosten. Und um einen Firefox-Nutzer aus der Ferne angreifen zu können, muss man bis zu 200.000 Dollar zahlen.

Das sind die derzeitigen Preise für sogenannte Zero-Day-Exploits: Hacks, die auf bisher unbekannten Sicherheitslücken beruhen. Zero-Day heißen sie, weil die betroffenen Hersteller und Administratoren im Fall eines Angriffs null Tage Zeit haben, Abwehrmaßnahmen zu entwickeln und zu verteilen.

2012 war ein iOS-Exploit noch für 250.000 Dollar zu haben

Bekannt geworden sind die Zahlen durch einen Artikel von "Motherboard". Die Quellen sind anonyme Branchenexperten, kaum jemand will offen darüber reden. Vergleicht man sie mit einem "Forbes"-Bericht aus dem Jahr 2012, wird ein deutlicher Anstieg erkennbar: Vor sechs Jahren war ein Zero-Day-Exploit gegen iOS demnach noch für maximal ein Zehntel des heutigen Preises zu haben. Der Öffentlichkeit unbekannte Sicherheitslücken in Chrome und Firefox waren damals zwischen 60.000 und 150.000 Dollar wert.

Zwar gibt es keine offizielle Preisliste für solche IT-Sicherheitslücken. Denn zum einen sitzen die Entdecker und Verkäufer überall auf der Welt, in kleinen Firmen, die Überwachungstechnik entwickeln, aber auch in großen Rüstungsunternehmen. Zum anderen sind auch die Käufer - häufig handelt es sich um Ermittlungsbehörden und Geheimdienste - über den Globus verteilt und mal mehr, mal weniger zahlungskräftig. Aber realistisch sind die im "Motherboard"-Artikel genannten Preise durchaus, wie ein Szenekenner auf Anfrage von SPIEGEL ONLINE bestätigt.

Die Entwicklung ist schwieriger geworden - und der Bedarf wächst

Zwei Hauptgründe gibt es für die Preisentwicklung. Erstens wächst der Bedarf bei Strafverfolgern, weil die zur Beweissicherung oder zum Abhören verschlüsselt gesendeter Botschaften zunehmend in elektronische Geräte von Verdächtigen einbrechen wollen. Beispielhaft zeigt das die Zweigleisigkeit beim Bundeskriminalamt (BKA), das sowohl selbst einen Staatstrojaner für genau diesen Einsatzzweck entwickelt, als auch ein kommerziell vertriebenes Produkt gekauft hat, das auf der Basis von Zero-Days funktioniert. Genauer: eine Lizenz dafür, die angeblich 147.000 Euro pro Jahr kostet. Auch die US-Bundespolizei FBI geht so vor, nur in größerem Maßstab.

Zweitens ist die Entwicklung von Exploits viel schwieriger geworden, oftmals braucht es dafür ganze Teams und viel Zeit. Denn die Entwickler und Hersteller von Smartphones, Browsern und anderer Software haben ihre Sicherheitsvorkehrungen in den vergangenen Jahren deutlich verschärft - vor allem, um ihre Kunden vor Hackerangriffen von Kriminellen zu schützen. Sie haben Spezialisten zum Teil von Geheimdiensten wie der NSA eingestellt, um potenzielle Schwachstellen frühzeitig zu erkennen, und sie haben sogenannte Bug-Bounty-Programme aufgesetzt. Das sind Aufrufe an Sicherheitsforscher und Firmen, Schwachstellen zu melden und dafür eine Belohnung zu kassieren.

Google zum Beispiel hat am Mittwoch seine Bug-Bounty-Statistik für 2017 veröffentlicht. Das Unternehmen hat demnach allein im vergangenen Jahr knapp drei Millionen Dollar ausgezahlt, darunter 112.500 Dollar an den chinesischen Entwickler eines Exploits gegen das Pixel-Smartphone.

Auch hier, im defensiven Bereich der Bug-Bounty-Programme, entsteht ein Markt. Er ist bereits so lukrativ, warnte jüngst die Sicherheitsexpertin Katie Moussouris in einer Anhörung vor dem US-Senat, dass talentierte Software-Entwickler mit der Schwachstellensuche mehr verdienen als in ihrem eigentlichen Job.

Für staatliche Institutionen wie das BKA, die Bundeswehr oder auch die neu gegründete Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis) sind die hohen Preise problematisch. Sie selbst haben es als Konkurrenten der defensiv oder auch offensiv ausgerichteten Unternehmen schwer, geeignetes Personal zu finden, das für sie so etwas wie neue Staatstrojaner entwickelt.

Was sie nicht selbst machen können, müssen die Institutionen einkaufen, mit dem Geld der Steuerzahler. Um auch dafür eine Zahl zu nennen: Das FBI hat für dieses Jahr 21,6 Millionen Dollar aus dem US-Bundeshaushalt beantragt, um Hacking-Werkzeuge zu entwickeln oder zu kaufen.