Computer-Sicherheit Hacker versteigern Sicherheits-Lücken

Wenn Computer-Freaks Schwachstellen in Programmen finden, können sie die Funde für viel Geld an Kriminelle verkaufen. Ein legaler Markt für Lücken könnte diesen Schwarzmarkt austrocknen, glauben Experten. Denn die wenigsten Hacker würden ihr Wissen Gangstern verkaufen wollen.


Wenn Software-Experten einen Fehler in einem der führenden Programme finden, dann begnügen sich einige von ihnen nicht länger mit einem netten Dankeschön des Herstellers - sie wollen Geld. Informationen über Sicherheitslücken können hunderttausende Dollar wert sein, je nach Bedeutung der Schwachstelle. Eine Website in der Schweiz bietet jetzt sogar in einer Auktion Informationen zu Fehlern in Computersystemen an.

Computer-Hacker: Experten wollen legalen Markt für Software-Schwachstellen etablieren
DPA

Computer-Hacker: Experten wollen legalen Markt für Software-Schwachstellen etablieren

Ein Schwarzmarkt für Informationen über Lücken in den Programmen von großen Hersteller wie Microsoft, Cisco Systems oder anderen existiert schon länger. Wer die Lücken kennt, kann in Rechner einbrechen, Informationen stehlen oder die Computer auf andere Weise für seine Zwecke nutzen.

Um dem etwas entgegenzusetzen, startete die Sicherheitsfirma iDefense, die inzwischen zu VeriSign gehört, vor rund fünf Jahren ein Programm, bei dem Forscher für Hinweise auf Lücken bezahlt werden. Einige Jahre später folgte TippingPoint von 3Com mit einem ähnlichen Ansatz. In beiden Fällen arbeiten die Sicherheitsfirmen mit den Software-Herstellern zusammen, um eine Lösung zu finden, bevor die Lücke publik wird.

Die dunkle Seite der IT-Branche

Der Markt für derartige Informationen habe sich ganz natürlich entwickelt, sagte Ken Durham von VeriSign-iDefense. "Unsere Befürchtung war, dass sich die Leute der dunklen Seite zuwenden, wenn ihnen kein anderer Weg angeboten wird." Und Terri Forslof von TippingPoint erklärt, Programme wie das ihrer Firma könnten nie so viel bieten wie auf dem Schwarzmarkt geboten werde. Viele Experten seien aber auch mit einer geringeren Bezahlung einverstanden, wenn sie wüssten, dass ihre Informationen verantwortungsbewusst genutzt würden.

Bislang ist die Anzahl der Sicherheitsinformationen, die verkauft werden, noch relativ gering im Vergleich zu denen, die die Hersteller direkt bekommen und die von ihren Forschungsabteilungen entdeckt werden. Aber der Markt wächst. "Es ist noch Neuland", sagt Russell Smoak, der bei Cisco für Produktsicherheit zuständig ist.

Wer kauft die Informationen über Lücken?

"Ich wurde schon von Programmierern auf eine Bezahlung angesprochen, bislang haben wir abgelehnt." Charlie Miller, Sicherheitsanalyst bei Independent Security Evaluators, erklärt, die Forderungen nach Geld kämen auch daher, dass die Experten in den Softwarefirma viel Geld mit der Suche nach Fehlern verdienten, außen stehende Experten bekämen aber nichts, wenn sie etwas fänden.

Hier setzt die Schweizer Website WabiSabiLabi an. Deren Direktor Roberto Preatoni erklärt, seine Auktionen sollten zwischen Anbietern und Käufern vermitteln. Die Sicherheitsindustrie sei derzeit auf Wissen aufgebaut, das völlig unterbewertet sei. Die Auktionen seien eine Möglichkeit, damit Forscher das bekämen, was ihre Arbeit auch wirklich wert sei. Kriminelle bräuchten seine Website nicht, sie agierten anonym auf dem Schwarzmarkt.

Die Sicherheitsauktion stößt aber auf einige Skepsis. "Man weiß unter Umständen nicht, wer die Information zu einer Sicherheitslücke kauft", sagte Mark Miller von Microsoft. "Das Risiko für die Kunden steigt dadurch möglicherweise noch." Ein richtiges Geschäft mit dem Verkauf von Sicherheitslücken zu machen, ist aber schwierig. Denn auch die Website WabiSabiLabi steht vor dem Problem, dass derjenige, der eine Lücke entdeckt, genügend verraten muss, um Interessenten zu finden, andererseits darf er nicht zu viel preisgeben, damit andere diese Lücke nicht auch finden und deren Wert schmälern.

Anick Jesdanun, AP



© SPIEGEL ONLINE 2007
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.