# taz.de -- BND will Verschlüsselung knacken: Mut zur Lücke
       
       > Der Bundesnachrichtendienst will Informationen über Sicherheitslücken in
       > Software kaufen, um sie für Spähaktionen zu nutzen.
       
 (IMG) Bild: Die BND-Zentrale in Berlin. Die Palme soll Kunst sein
       
       BERLIN dpa | Der Bundesnachrichtendienst (BND) will [1][einem Medienbericht
       zufolge] Informationen über Sicherheitslücken in Software kaufen. Das
       Nachrichtenmagazin Der Spiegel [2][berichtete], dass der BND in den
       nächsten Jahre 4,5 Millionen Euro eingeplant habe, um bisher unbekannte
       Sicherheitslücken in Software zu kaufen. Das gehe aus geheimen Unterlagen
       hervor.
       
       Die Lücken wolle der BND nutzen, um die verbreitete Verschlüsselung SSL
       auszuhebeln. Banken, Online-Netzwerke oder Shopping-Seiten verwenden SSL,
       um Kundendaten und Login-Informationen zu schützen. Auch die Süddeutsche
       Zeitung berichtete von den Plänen des BND, diese Verschlüsselung zu
       knacken. Der BND wolle offenbar Software-Sicherheitslücken für gezielte
       Spähattacken nutzen, berichteten Süddeutsche Zeitung, NDR und WDR.
       
       Die Bundesregierung hat die Zusammenarbeit des Bundesnachrichtendienstes
       (BND) mit der französischen Software-Sicherheitsfirma Vupen bestätigt. Eine
       der Dienstleistungen der Firma Vupen ist es, Geheimdiensten und
       Sicherheitsbehörden eben diese in Software entdeckten Sicherheitslücken zur
       Verfügung zu stellen. Ein Sprecher des Bundesinnenministeriums sagte am
       Montag in Berlin, die Erkenntnisse aus der Zusammenarbeit mit Vupen seien
       vor allem für den Schutz der Regierungsnetze und nicht zur Weitergabe an
       Dritte erworben worden. Die Zusammenarbeit mit der französischen Firma sei
       inzwischen beendet worden.
       
       Regierungssprecher Steffen Seibert erklärte, Ziel der Bundesregierung sei
       es, die Abhängigkeit von ausländischen Dienstleistern im Bereich
       IT-Sicherheit weiter zu reduzieren. „Es trifft zu, dass der BND plant,
       seine vorhandene technische Basis zu stärken“, fügte Seibert hinzu. Das
       zentrale Element dieser Initiative sei der Aufbau eines Frühwarnsystems für
       Cyber-Angriffe.
       
       ## CCC fordert, den Sicherheitslücken-Kauf zu verbieten
       
       Der Hackerverein Chaos Computer Club (CCC) reagierte empört. Er warf dem
       BND vor, Bürger und Unternehmen Gefahren durch Sicherheitslücken in
       Computerprogrammen auszusetzen. Der CCC forderte, den Kauf der
       Sicherheitslücken durch deutsche Behörden zu verbieten. Diese
       Sicherheitslücken, genannt „zero day exploits“, werden teilweise von
       Hackern aufgespürt und auf einem unkontrollierten Markt gehandelt.
       
       Angreifer können die Lücken unter Umständen ausnutzen, um in Computer
       einzudringen. Auf diese Gefahr weist schon der Name hin: „zero days“ heißen
       so, weil Nutzer keine Zeit („null Tage“) haben, um sich vor einem Angriff
       zu schützen. Auch Kriminelle können die Schwachstellen entdecken und für
       ihre Zwecke ausnutzen.
       
       Dass der BND solche Schwachstellen angeblich aufkaufen wolle, sei
       „inakzeptabel“, kritisierte der Chaos Computer Club am Montag. Er warf dem
       Nachrichtendienst vor, den Markt für Software-Fehler anzuheizen. „Der
       Anreiz würde weiter steigen, aufgespürte Sicherheitslücken im Geheimen zu
       handeln“, erklärte der CCC. Auf dem Schwarzmarkt würde das Wissen um die
       Schwachstellen „für sechs- bis achtstellige Euro-Beträge“ verkauft.
       
       „Gleichzeitig wird es Bürgern und Unternehmen erschwert, sich vor
       technischen Angriffen auf persönliche Daten oder Geschäftsgeheimnisse zu
       schützen“, betonte der Hackerverein. Sicherheitsexperten warnen immer
       wieder vor Gefahren durch unveröffentlichte Software-Lücken. Fachleute
       werben dafür, Sicherheitslücken den Herstellern der Software mitzuteilen.
       
       Die können dann dafür sorgen, dass die Lücken gestopft werden. Unternehmen
       wie Google oder Microsoft schreiben Geld für die Jagd nach Schwachstellen
       aus. Google startete im Sommer das „Project Zero“, um selbst
       Sicherheitslücken in Software aufzudecken.
       
       10 Nov 2014
       
       ## LINKS
       
 (DIR) [1] http://www.sueddeutsche.de/digital/bundesnachrichtendienst-aufruesten-fuer-den-cyberkampf-1.2211761
 (DIR) [2] http://www.spiegel.de/netzwelt/netzpolitik/sicherheitsluecken-ccc-kritisiert-schwarzmarkt-plaene-des-bnd-a-1001984.html
       
       ## TAGS
       
 (DIR) Bundesnachrichtendienst
 (DIR) Schwerpunkt Überwachung
 (DIR) Sicherheitslücken
 (DIR) NSA
 (DIR) Wlan
 (DIR) Schwerpunkt Überwachung
       
       ## ARTIKEL ZUM THEMA
       
 (DIR) Verbot von Verschlüsselung: Die Rückkehr der Krypto-Krieger
       
       Verschlüsselte Kommunikation? Wenn der Staat im Notfall mitlesen darf. Wie
       nach den Anschlägen von Paris eine alte Debatte ein Revival feiert.
       
 (DIR) Kommentar Netzpolitik in Deutschland: WLAN für alle? Denkste!
       
       Die Bundesregierung will kein Internet für alle. Zumindest dann nicht, wenn
       es per unverschlüsseltem Wlan daherkommt.
       
 (DIR) CCC-Kongress 31C3 in Hamburg: Volle Kraft voraus
       
       Der Chaos Computer Club präsentiert sich auf seinem Kongress gestärkt. Der
       31C3 ist politische Plattform, Hackspace und Spielplatz für tausende
       Besucher.