Der Handel mit Sicherheitslücken kommt wieder in Schwung. 8000 Euro heißt das erste Gebot, das das US-Sicherheitsunternehmen iDefense für eine Sicherheitslücke in Windows Vista, Microsofts neuem Betriebssystem, bietet. Wer dazu noch den Exploit-Code mit auf den Tisch des Hauses packt, kann zusätzlich 4000 US-Dollar mit nach Hause nehmen. Zudem hat er das beruhigende Gefühl, eine gute Tat begangen zu haben. Denn die Schwarzmarktpreise für funktionierende Vista-Sicherheitslücken liegen bedeutend höher, und zwar bei derzeit rund 50.000 US-Dollar.
Bessere Marktchancen – höhere Umsätze
Sicherheitsunternehmen wie iDefense oder TippingPoint leben von den Softwarefehlern anderer Firmen. Sie produzieren Sicherheitssoftware, für die ein Markt natürlich immer nur dann vorhanden ist, wenn es eklatante Lücken in populären Programmen gibt. Wer diese Lücken kennt und sie mit seiner eigenen Software schließen kann, erwirbt sich einen nicht zu unterschätzenden Vorteil auf dem hart umkämpften Markt für Sicherheitsprodukte. Bessere Marktchancen und höhere Umsätze hat, wer seine Kunden früher als die Konkurrenz und am besten exklusiv vor neuen Sicherheitslücken beispielsweise in Microsoft-Betriebssystemen schützen kann.
Sicherheit ist eine Ware
Wo Sicherheit ein Geschäft ist, werden Sicherheitslücke zur Ware. 8000 Euro ist der US-Firma iDefense eine Windows-Vista-Sicherheitslücke wert. Dieselbe Summe will man auch für ein möglichst schwer wiegendes Leck im Internet Explorer 7 zahlen. Offenbar ist iDefense nicht selbst in der Lage, solche Lücken zu entdecken. Vielleicht fehlt das nötige Know-how oder einfach nur das Geld, um Sicherheitsspezialisten in Dauerstellung zu beschäftigen. Denn billiger ist es allemal, Sicherheitslücken einfach aufzukaufen.
Eigene Signatur-Updates
Ist der Deal perfekt, dann wird die eigene Schutzsoftware um die Lücke „erweitert“. Sie bekommt ein Signatur-Update, sodass die eigenen Kunden künftig exklusiv geschützt sind. Gleichzeitig nimmt man Kontakt mit dem betroffenen Softwareproduzenten auf und informiert ihn über das Sicherheitsleck. Technische Details werden immer erst dann veröffentlicht, wenn der fragliche Softwareproduzent die Lücke selbst geschlossen hat.
Sicherheitslücken werden indirekt publik gemacht
Kritiker melden gegen eine solche Praxis starke Bedenken an. Der Kreis derjenigen, die frühzeitig von Sicherheitslücken erführen, vergrößere sich in unzulässiger Weise. Technisch sei es nämlich kein besonders großes Problem, aus dem Signatur-Update der Sicherheitsfirma auf die Art des Sicherheitsproblems zu schließen. „Böswillige“ Experten könnten diese Informationen nutzen, um Exploits für diese Sicherheitslücke zu entwickeln, bevor der betroffene Softwareproduzent seine Kunden schützen könne.
Absprache unter Ehrenleuten
Noch bis vor wenigen Jahren herrschte zwischen Sicherheitsfirmen und Softwareproduzenten eine Art Gentlemen’s Agreement. Danach blieben neue Sicherheitslücken völlig unter Verschluss, bis die betroffene Softwarefirma – innerhalb einer angemessenen Frist – eine Problemlösung erarbeitet hatte. Erst wenn ein Sicherheits-Patch zur Verfügung stand und an die Kunden des Softwareproduzenten ausgeliefert worden war, wurde die Öffentlichkeit informiert.
„responsible disclosure“
Eine solche „Absprache unter Ehrenleuten“ bzw. das so genante Prinzip der „responsible disclosure“ wurde früher von allen Beteiligten eingehalten. Die seit ein paar Jahren um sich greifende Praxis, aus marktstrategischen Gründen das Gentlemen’s Agreement zumindest teilweise aufzukündigen, unterläuft dieses Prinzip. Der Kreis der potenziellen Mitwisser erweitert sich. Die allgemeine Sicherheitslage verschlechtert sich. Risiken und Nebenwirkungen einer solchen Geschäftspolitik werden billigend in Kauf genommen.
Zurück zur News-Übersicht