Sicherheitslücken

27. Oktober 2016 12:36; Akt: 27.10.2016 13:14 Print

Das dreckige Geschäft mit digitalen Waffen

von T. Bolzern - Der Handel floriert: Für kritische Sicherheitslücken werden teils exorbitante Preise bezahlt. Auch Behörden mischen mit.

Bildstrecke im Grossformat »

Zum Thema
Fehler gesehen?

5 Millionen Dollar hat Facebook in den letzten fünf Jahren für Schwachstellen bezahlt. Der Betrag wurde an Sicherheitsforscher abgegeben, die Lücken im System fanden und dem Unternehmen meldeten. Diese Bug-Bounty-Programme sind in der Branche verbreitet. Vor kurzem hat auch Apple solche Belohnungen ausgeschrieben – als einer der letzten grossen Tech-Konzerne.

Umfrage
Waren Sie schon einmal von Cyber-Kriminalität betroffen?
20 %
62 %
12 %
6 %
Insgesamt 1234 Teilnehmer

Unbekannte Schwachstellen in Systemen sind sozusagen der heilige Gral für die Hacker. Denn daraus können sogenannte Exploits entwickelt werden – eine Art Schadprogramme, die diese Lücken systematisch ausnutzen. So lassen sich beispielsweise ganze Systeme und Netzwerke durchleuchten, ohne dass die Opfer etwas davon mitbekommen. Im Fachjargon heissen sie 0-Days (Zero Days). Dies, weil der Hersteller eines betroffenen Systems nichts von der Lücke weiss, also null Tage Vorwarnzeit hat. Dementsprechend gibt es zu dem Zeitpunkt auch keinen Patch dafür.

Bis zu einer Million Dollar

Auf dem Schwarzmarkt floriert das Geschäft mit Lücken und 0-Day-Exploits. Die Firma Scip AG aus Zürich beobachtet seit 15 Jahren den Markt. «Preise für Schwachstellen werden massgeblich durch die Popularität des angegriffenen Produkts getrieben», sagt IT-Sicherheitsexperte Marc Ruef von Scip.

Eine Lücke für Windows 10, mit der ein Angreifer Code aus der Ferne ausführen kann, kostet derzeit rund 70'000 Dollar. Die höchsten Preise erzielen aktuell Lücken für die Plattformen Android und iOS. «Gerade iOS-Lücken werden teilweise zu exorbitanten Preise gehandelt», so Ruef.

Und genau hier liegt das Problem. Denn das Missverhältnis zwischen den Schwarzmarktpreisen und den Bug-Bounty-Honoraren ist extrem. Während Apple bis zu 200'000 Dollar für gemeldete Lücken zahlt, liegen die Preise auf dem Schwarzmarkt zwischen 100'000 und einer Million Dollar. Wobei solche Preise stets Verhandlungssache seien, erklärt Ruef. «Wer Lücken sucht und Exploits schreibt, weil er damit viel Geld verdienen möchte, wird im Untergrund die viel besseren Karten haben.»

Höhere Boni lohnen sich für Hersteller nicht

Was also ist zu tun, um dem Schwarzhandel einen Riegel zu schieben? Die Bounty-Programme müssten massiv mehr Geld ausschütten, was sich aber für die Hersteller meist nicht lohnt. Ein solches Programm kann nie mehr Geld ausschütten, als man mit dem Produkt überhaupt verdienen könnte.

Im Schwarzmarkt hingegen haben die Akteure entweder einen politischen Auftrag mit undurchschaubarem wirtschaftlichem Hintergrund. «Oder es wird eine kriminelle Aktivität angestrebt, die ihrerseits eine sehr hohe finanzielle Ausbeute verspricht», so Ruef. Die Schwarzmarkt-Käufer müssten – abgesehen vom Einkauf des Exploits an sich – nicht noch Auslagen für Löhne, Miete, Sozialabgaben usw. tätigen.

Nachrichtendienste bieten mit

Dankbare Abnehmer der 0-Day-Exploits sind auch «Big Player», wie der Sicherheitsexperte sagt. «Diese können und wollen im Exploit-Handel sehr viel Geld ausgeben», sagt er. In erster Linie Nachrichtendienste würden unter Umständen mit allen Mitteln versuchen, an die wirklich wichtigen Exploits zu kommen.

«Ob diese 1 oder 2 Millionen US-Dollar kosten, spielt dann nur eine untergeordnete Rolle». Deshalb sei es auch schwierig, eine Prognose für die Zukunft abzugeben, wo die Maximalpreise irgendwann enden werden. «Zweistellige Millionenbeträge für iPhone-Exploits sind nicht unrealistisch», sagt Ruef.

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • Hobby Admin am 27.10.2016 14:18 Report Diesen Beitrag melden

    Laggender Artikel...

    Dieser Artikel kommt ein bisschen zu spät... der hätte vor der Abstimmung erscheinen sollen. Naja, so finanzieren wir halt mit unseren Steuern die unehrlichen Hacker, die Mehrheit hat es so gewollt. Ein hoch auf die Demokratie !

    einklappen einklappen
  • Simon M. am 27.10.2016 23:39 via via Mobile Report Diesen Beitrag melden

    Selbstschutz Consumer

    Es ist klar, dass solche Lücken extrem teuer sind. Es gilt jedoch auch zu beachten, dass es weltweit Abertausende bzw. Millionen ungesicherter Geräte rumstehen hat. Vor kurzem wurde ein Botnet (ferngesteuerte Geräte) aus IoT (Internet der Dinge, z.B. Smarte Wasserkocher, Webcams, Babyphones etc.) missbraucht, um in Amerika grosse Server - darunter auch Amazon und Akamai - und damit auch das Internet lahmzulegen. Die meisten User sind sich dabei nicht bewusst, was für ein Risiko solche Geräte darstellen können und sichern diese nicht ab. Fazit: Alle Geräte sind mit richtigen Passwörter zu versehen und die Verbindungen von Aussen auf ein Minimum zu beschränken. Und ja, es gilt auch für dich!

  • EMM am 27.10.2016 19:26 via via Mobile Report Diesen Beitrag melden

    Hmmm

    In einer Cyper-Kriminalität kann schnell mal, ein paar Milliarden verschwinden, und bietet mehrere Möglichkeiten. So gesehen wäre, eine Lücke attraktiver als, zu versuchen den Computer vor Schädlichen Programme zu schützen. Im Netz gibt es nun mal keine 100 Prozentige Sicherheit, und keine Privatsphäre, wenn da ein Profi am Werk ist. Das sollte, jedem bewusst werden, und mit den Netz Verantwortungsbewusst umgehen.

Die neusten Leser-Kommentare

  • Ernst Bissig am 30.10.2016 10:45 Report Diesen Beitrag melden

    Internet Sicherheit Wissen ist ein Muss

    Jeder Informatiker und Netzwerker sollte sich jährlich seriös weiterbilden. Dies in Internet Sicherheit Seminaren. Dabei ist Kryptologie und Wissen im Bereich Computerschutz das zentrale Thema. Das kann auch rechtlich gesehen für jeden Fachmann entscheidend werden.

  • Nicolas am 28.10.2016 09:34 via via Mobile Report Diesen Beitrag melden

    ganz einfach

    es ist ganz einfach, pc die keinen internet anschluss benötigen einfach nicht ans internet sondern an das betrieb eigene netz anschliesen. zum dokumente drucken oder so braucht man kein internet. das ist der beste schutz.

  • terra am 28.10.2016 09:13 via via Mobile Report Diesen Beitrag melden

    denkt das ruhig weiter

    lustig wie viele Leute denken das sie noch nie Opfer geworden sind von Cyber Attacken.

    • Robin T. am 28.10.2016 10:58 Report Diesen Beitrag melden

      Kein Opfer, sondern Helfer

      Naja, Definiere Opfer... Wenn ich meine Ressourcen freundlicher Weise mit einem Kollegen aus Russland teile damit ein Dienst überflutet werden kann, bin ich noch lange kein richtiges Opfer... Ich habe ja keinen nennenswerten Schaden davon.. Ich bin eher ein Angreifer, weil ich mir nie die Zeit genommen habe um mich davor zu schützen Und wenn das mein Kühlschrank & Wasserkochen auch macht ist das doch auch Nett. Sehr Nett sind auch Gratis App ohne Werbung auf den Handys. Grösstes "Bitcoin" Mining Netzwerk :D

    einklappen einklappen
  • Simon M. am 27.10.2016 23:39 via via Mobile Report Diesen Beitrag melden

    Selbstschutz Consumer

    Es ist klar, dass solche Lücken extrem teuer sind. Es gilt jedoch auch zu beachten, dass es weltweit Abertausende bzw. Millionen ungesicherter Geräte rumstehen hat. Vor kurzem wurde ein Botnet (ferngesteuerte Geräte) aus IoT (Internet der Dinge, z.B. Smarte Wasserkocher, Webcams, Babyphones etc.) missbraucht, um in Amerika grosse Server - darunter auch Amazon und Akamai - und damit auch das Internet lahmzulegen. Die meisten User sind sich dabei nicht bewusst, was für ein Risiko solche Geräte darstellen können und sichern diese nicht ab. Fazit: Alle Geräte sind mit richtigen Passwörter zu versehen und die Verbindungen von Aussen auf ein Minimum zu beschränken. Und ja, es gilt auch für dich!

  • Mr.Burns am 27.10.2016 20:56 via via Mobile Report Diesen Beitrag melden

    Digitale Waffen

    Bei richtigen Gaunern kann es ein Megaspass sein,so etwas zu verwenden.