Softwareschwachstellen Das Geschäft mit der Lücke

Zero Days: Was klingt wie ein billiger Science-Fiction-Film, gehört zu den heißesten Handelswaren im Web. Hinter diesen offenen Sicherheitslücken, gegen die es noch kein Gegenmittel gibt, sind Kriminelle her, aber auch Regierungen, Security-Profis - und Händler.

Von Uli Ries

Digitaler Angriff: Gegen so genannte Zero-Day-Exploits gibt es keine Verteidigung
Corbis

Digitaler Angriff: Gegen so genannte Zero-Day-Exploits gibt es keine Verteidigung


München - Sie sind unsichtbar, taugen für Spionagegeschichten, Verschwörungstheorien und reichlich Diskussionen - und werden für ungeheure Summen verkauft. Die Rede ist von Schwachstellen in Software, auch Bugs genannt - allerdings von ganz besonderen Schwachstellen. Sogenannte Zero-Day-Lücken können weit mehr Schaden anrichten, als Anwendern nur als Ursache von Programmabstürzen zu nerven.

Zero Days (0days) sind Informationen über Lücken, für die der betroffene Hersteller noch keine Abhilfe in Form eines Updates parat hat. Mit ihrer Hilfe kann man PCs mit Schadsoftware infizieren, Daten klauen oder iranische Atomanlagen außer Gefecht zu setzen, wie der Fall Stuxnet gezeigt hat. Seine Besonderheit: Stuxnet hatte gleich vier - oder drei, abhängig von der Zählweise - Zero Day Exploits für Windows im Gepäck.

Der Exploit ist das eigentliche Stück Software, das die Lücke missbraucht. 0day Exploits in Windows sind die Königsklasse. Zum einen, weil das Betriebssystem immens weit verbreitet ist und es somit reichlich potentielle Opfer gibt. Zum anderen, weil Microsoft die Sicherheitsvorkehrungen im Lauf der vergangenen Jahre verstärkt hat und Windows widerstandsfähiger gemacht hat. Daher konzentrieren sich die Bug-Finder eher auf Anwendungen von Adobe. Adobe Flash und der Reader dürften noch weiter verbreitet sein als Windows. Gleichzeitig ist der Programmcode aber noch lange nicht so ausgereift wie der von Windows - Einbrecher kommen somit schneller ans Ziel.

Der Missbrauch der Lücken hat in der Regel die unbemerkte Installation einer Schadsoftware zur Folge. Sie nistet sich auf dem infizierten Rechner ein und verschickt dort im Auftrag ihres Herrn Spam, protokolliert Tastatureingaben, lauscht beim Online-Banking mit oder manipuliert eben Zentrifugen in Atomanlagen.

Geschäftsmodell Bug-Suche

Rund um Zero Days und deren Exploits ist ein schwunghafter Handel entstanden. Auf der einen Seite ist es der digitale Schwarzmarkt, auf dem sich die Kriminellen mit Exploits eindecken. Über die dort bezahlten Preise kann nur spekuliert werden. Dan Holden, Leiter der zu HP gehörenden Zero Day Initiative (ZDI) vermutet, dass Exploits in weit verbreiteten Anwendungen wie dem Adobe Reader oder Microsofts Internet Explorer bis zu 100.000 US-Dollar wert sind.

Die ZDI zählt zusammen mit dem zu VeriSign gehörenden iDefense zu den Gegenspielern der Exploit-Entwickler und Verkäufer. Die Unternehmen kaufen 0days oder Exploits von unabhängigen Sicherheitsexperten an, um so die von den beiden Firmen hergestellten IT-Sicherheitsprodukte frühzeitig auf eventuelle Attacken vorzubereiten. Anschließend reichen ZDI und iDefense die Informationen gratis an die betroffenen Hersteller weiter.

Einer, der von der Zuarbeit für ZDI lebt, ist der chinesische Hacker Wu Shi. Er hat sich auf Apples Browser Safari spezialisiert und dort allein im letzten Jahr 35 Schwachstellen aufgespürt. Im Schnitt bekomme er 3000 US-Dollar pro gefundenem Bug, sagt Wu Shi. Wobei Hersteller wie Google seiner Aussage nach knausriger sind als beispielsweise die ZDI. Andere Firmen wie Microsoft oder Adobe zahlen den Findern gar nichts für ihre Mithilfe. Microsoft lässt nach eigener Auskunft hin und wieder Hacker ins Hauptquartier kommen, damit diese dort den Quellcode kommender Produkte auf Herz und Nieren prüfen. Für diese Beratungsjobs würde dann Geld bezahlt, heißt es aus Redmond.

Deutlich aggressiver als ZDI und iDefense gehen die französischen Bug-Jäger von Vupen ans Werk. Das Geschäftsmodell des Unternehmens basiert ausschließlich auf dem Verkauf von 0days und Exploits, die von den festangestellten Hackern zuvor aufgespürt wurden. Auch der betroffene Hersteller muss zahlen, andernfalls erfährt er nichts über die Schwachstelle. Die in diesem Fall bestens informierte Gerüchteküche sagt, dass Vupen sechsstellige US-Dollar-Summen pro Jahr für seinen Informationsdienst verlangt. Adobe und Microsoft - deren Produkte zweifelsohne am häufigsten von sicherheitskritischen Bugs geplagt sind - gehören nach eigener Auskunft nicht zu den zahlenden Kunden.

Nur wer zahlt, wird informiert

Ob das deutsche Bundeskriminalamt Geld an Vupen überweist, will man in Wiesbaden weder bestätigen noch dementieren. Denn die Franzosen haben einen eigens für Strafverfolger konzipierten Dienst im Angebot. Hierbei geht es längst nicht nur um die Verteidigung der kritischen Infrastrukturen - sondern auch um Gegenangriffe. Zumindest verwendet Vupen im Zusammenhang mit dem Dienst auf seiner Webseite das englische Wort "offensive", also "offensiv". Man braucht nicht viel Phantasie, um sich passende Szenarien auszumalen: Behörden können die von Vupen mundgerecht aufbereiteten Informationen verwenden, um entweder in PCs fremder Regierungen einzudringen oder Maschinen von verdächtigen Bürgern des eigenen Landes zu verwanzen. Der Bundestrojaner, ein Spionageprogramm für deutsche Ermittler zum Ausspähen von Computern und Mobiltelefonen, lässt grüßen.

Vupen-Geschäftsführer Chaouki Bekrar versichert, dass sein Unternehmen nur an "vertrauenswürdige" Organisationen und Regierungen verkauft - mithin die, die Bündnissen wie der Nato oder ASEAN (Verband Südostasiatischer Nationen) angehören. So soll verhindert werden, dass sich Cyber-Kriminelle beliefern lassen.

Auch Microsoft arbeitet mit Regierungen und Behörden zusammen und lässt diesen vor dem monatlichen Patch-Dienstag Informationen über die alsbald zu schließenden Lücken zukommen. Maarten Van Horenbeeck verantwortet den Informationsfluss zwischen Microsoft und den Regierungen. Er sagt: "Wir können kontrollieren, was die von uns vorab in Kenntnis gesetzten Organisationen mit den Informationen anfangen. So stellen wir sicher, dass die Details nicht für Angriffe verwendet werden."



© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.