SENDETERMIN Mi., 22.01.20 | 21:45 Uhr | Das Erste

Das gefährliche Geschäft mit IT-Sicherheitslücken

PlaySicherheitslücken werden zum Geschäft.
Das gefährliche Geschäft mit IT-Sicherheitslücken | Bild: picture alliance/dpa / Annette Riedl

  • Ob Medizinprodukte, Staubsauger oder Industrie-Anlagen, kaum ein Gerät, das nicht computergesteuert ist. Doch es gibt eine Menge Schwachstellen in Computer-Programmen.
  • Hersteller bieten deshalb Updates an, damit Sicherheitslücken schnell behoben werden können. Doch was, wenn die Hersteller die Schwachstellen nicht kennen?
  • "Plusminus" berichtet über das Geschäft mit Sicherheitslücken und zeigt das sogenannte Schwachstellen-Business im Darknet. Dort werden "frische" Schwachstellen zu Höchstpreisen an Cyberkriminelle oder auch an die Konkurrenz verkauft. Das beeinflusst sogar Aktienkurse.
  • Die Cyber-Sicherheit leidet massiv, weil es über die Meldepflichten von Schwachstellen keine rechtlichen Regeln gut.

Schwachstellen in Computerprogrammen sind gefährlich. Denn sie ermöglichen Kriminellen, online einzubrechen. Nutzer sollten daher Sicherheits-Updates installieren, wenn die Hersteller die bereitstellen. Doch wo Hersteller die Fehler der Software nicht erkennen, tut sich ein gigantischer Schwarzmarkt für Cyber Kriminelle auf.

Es ist erschreckend einfach, sich in die Wohnzimmer der Menschen zu hacken. Benjamin Mejri von der Firma Evolution Security zeigt es uns. Seit 20 Jahren handelt er mit gefährlichen Sicherheitslücken in Computerprogrammen. Er zeigt uns eine brandaktuelle Schwachstelle in einem Webradio, das derzeit im Handel ist: Bei diesem Webradio hätten er und sein Team "kritische Sicherheitslücken gefunden und konnten am Ende auf 1,5 Millionen Endgeräte zugreifen."

Ein krimineller Hacker, ein sogenannter Black Hat Hacker, könnte in all diese Webradios einbrechen, so Benjamin Mejri: "Je nachdem, wo diese Webradios stehen, ist man dann direkt im privaten Haushalten drin oder im Netz der Firma."

Kriminelle könnten über diese Schwachstelle sogar Kontodaten ausspähen. Sie bieten für solche Lücken fünf- bis zehntausend Euro an. Doch das ist für Benjamin Mejri keine Option. Mit Kriminellen macht er keine Geschäfte. Er hat die Sicherheitslücke an den Hersteller verkauft.

Kritische Sicherheitslücken melden "gute" Hacker an das weltweite Schwachstellenverzeichnis am US-amerikanischen National Institute of Standards and Technology (NIST). Dort ist übrigens auch die Web-Radio-Schwachstelle verzeichnet, unter der Nummer 13473. Hersteller bieten mittlerweile Updates für die  Webradios an.

Handel mit gefährlichen Schwachstellen

Täglich kommen unzählige Schwachstellen in Computerprogrammen dazu. Auch China und natürlich auch Deutschland, veröffentlichen Informationen zu Schwachstellen.

Sicherheitslücken können überall lauern: in Medizingeräten, in Staubsaugern, Schließsystemen oder Industrieanlagen. Alle Geräte, die mit dem Internet verbunden sind, können betroffen sein und sind dann ein Ziel für Hacker. Wenn gute Hacker, sogenannte White Hat Hacker, Schwachstellen an den Hersteller melden, der Hersteller also von der Lücke erfährt, sprechen vom sogenannte Zero Day, den Tag Null. Weiß der Hersteller von der Schwachstelle, kann er ein Update bereitstellen und die Zero-Day-Schwachstelle damit schließen.

Böse Hacker, sogenannte Black Hat Hacker, melden Zero-Day-Schwachstellen nicht, sondern machen sie auf dem Schwarzmarkt zu Geld. Zum Beispiel auf so genannten Zero-Day-Märkten im Darknet. Gehandelt werden Sicherheitslücken bei Twitter oder Instagram. Benjamin Mejri zeigt uns eine Cyber-Crime-Angebotsseite.

"Diese kriminelle Gruppierung identifiziert eigene Sicherheitslücken und bietet die dann auf ihrer eigenen Plattform zum Kauf an. Dahinter steht auch gleich, wie einfach die Schwachstelle ausnutzbar ist und welches Risiko diese Sicherheitslücke hat. Und ganz hinten am Ende sehen wir natürlich einen Goldpreis. Der Goldpreis ist ein Bitcoin-Preis."

Sicherheitslücke im Herzschrittmacher

Doch neben Schwarzmarkthändlern gibt es noch weitere Akteure im dubiosen Geschäft mit Sicherheitslücken. Die kennen White Hat Hacker Marco Di Filippo und Tobias Zillner. Zillner war vor drei Jahren an der Aufdeckung einer brandgefährlichen Schwachstelle beteiligt, ausgerechnet in einem Herzschrittmacher. Wie dramatisch die Schwachstelle 2016 für Patienten war, führen sie uns an damaligen Geräten vor.

Ein einfacher Befehl beim Hochfahren des Geräts genügte Tobias Zillner damals für den Hack. Er beschreibt, wie er damals vorging: "Wir resetten das Gerät und unterbrechen den Bootvorgang, starten das Gerät neu mit zusätzlichen Parametern. Damit umgehen wir die Passwortabfrage und haben sofort administrativen Zugriff auf das Gerät. Tobias Zillner könnte Daten in die Cloud-Verbindung schreiben, Passwörter lesen und noch einiges mehr. Das schlimmste so Zillner: "Für den Patienten heißt das, ich kann einerseits den Rhythmus verändern und ich kann aber auch im schlimmsten Fall tödliche Schocks auslösen." Die Herzschrittmacher der Firma St. Jude Medical bekamen später Sicherheitsupdates.

Finanzwetten mit IT-Sicherheitslücken

Was Tobias Zillner zum Zeitpunkt seiner Schwachstellen-Analyse nicht wusste: Die IT-Sicherheitsfirma, für die er arbeitete, meldete die Schwachstelle des Herzschrittmachers nicht an den Hersteller St. Jude Medical, sondern, so Tobias Zillner: "Es wurde an eine Investmentfirma verkauft oder lizensiert."

Der Finanzinvestor Muddy Waters Capital kaufte die Schwachstellte und setzte auf fallende Aktienkurse des Herstellers St. Jude Medical. Bei Veröffentlichung der Ergebnisse am 25. August 2016 stürzte der Kurs tatsächlich ab. Der Finanzinvestor Muddy Waters Capital machte Kasse.

Marco Di Filippo bestätigt: "Es ist mittlerweile so, dass Schwachstellen bewusst gesucht werden, um letztendlich damit an der Börse zu handeln, also um mit Negativ-Meldungen die Börsenwerte zu manipulieren und darauf zu wetten."

Und Marco Di Filippo berichtet noch von zwei weiteren Angeboten, die er auf den Tisch bekommen hat im vergangenen Jahr, top bezahlt, aber klar dubios motiviert: Dritte lassen Hacker Sicherheitslücken suchen, um damit Kasse zu machen. In einem Fall ging es um die Software eines Versicherers, im anderen Fall um die IT einer Kühlkette im Lebensmittelhandel. Das sei finanziell sehr interessant gewesen, so Di Filippo, "aber wir haben nicht angenommen."

Handel mit Sicherheitslücken – legal!

Mit Sicherheitslücken zu handeln, ist in Deutschland übrigens erlaubt, so das Bundesinnenministerium. Brisant: Auch die Sicherheitsbehörden kaufen Schwachstellen, etwa für die Strafverfolgung oder die militärische Abwehr.  Durch eine fehlende Regelung aber entstehe ein gefährliches Sicherheitsdilemma, so Dr. Matthias Schulze von der Stiftung Wissenschaft und Politik (SWP): "Wenn ich in Kauf nehme, dass eine Lücke offenbleibt, obwohl ich sie schließen könnte, weil ich das Wissen darüber habe, nehme ich ein Sicherheitsrisiko in Kauf, was nicht sein müsste. Und dadurch entstehen eben Feedback-Effekte, die dazu führen, dass zum Beispiel Cyber-Kriminalität mit ansteigt, die auch dazu führt, dass das globale Internet-Ökosystem unsicherer wird." In seinem Aufsatz "Governance von 0-Day Schwachstellen in der deutschen Cyber-Sicherheitspolitik" plädiert er dafür, dass dafür gesorgt werden müsse, ein Gegengewicht zu den Schwarzmärkten zu schaffen. "Europa sollte Schwachstellenforscher nicht kriminalisieren und den Aufbau europäischer Plattformen für die Meldung von Schwachstellen unterstützen."

Sogenannte Bug-Bounty-Programme sind eine Art "Kopfgeld-Programm" für Programmfehler. Hacker erhalten für das Finden und Melden einer Schwachstelle eine Geldprämie.

Belohnung für Hacker – Bug-Bounty-Programme

"Plusminus" hat alle 30 DAX-Konzerne gefragt, ob sie Bug-Bounty-Programme anbieten. Das Ergebnis: Nur BASF,  E.ON (nur intern) und Lufthansa bieten derzeit ein Bug-Bounty Programm an. Einige Dax Konzerne bieten zwar kein Bug-Bounty-Programm an, wie etwa Siemens, prüfen aber die "technische Umsetzung und Partizipation an einer entsprechenden Plattform", um die IT-Sicherheit noch zu stärken, so ein Siemens Sprecher. Auch BMW setzt sich nach eigenen Angaben mit der Umsetzung eines Bug-Bounty-Programms "intensiv auseinander."

Die Mehrzahl der DAX-Konzerne geht andere Wege. So erklärt beispielsweise Wirecard, man biete keine Bug-Bounty-Plattformen oder Zahlungen an Hacker an. Ein Wirecard-Sprecher zu "Plusminus": "Wir setzen stattdessen auf interne Experten, spezialisierte Dienstleister und deren Software, um potentielle Schwachstellen in unseren IT-Systemen und den relevanten Prozessen zu identifizieren und schnellstmöglich zu beheben."

Schwachstellen – in der Hand der Hacker

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilt "Plusminus" mit, es gäbe keine Verpflichtung, aufgefundene Schwachstellen zu melden. Auch der Verkauf ist meist nicht verboten.

Fakt ist: Schwachstellen, von denen Hersteller zu spät erfahren, können für alle gefährlich werden. Seltsam, dass der Staat bislang noch keine Regeln für den Handel mit Sicherheitslücken geschaffen hat.

Bericht: Sabina Wolf

Stand: 23.01.2020 07:59 Uhr

13 Bewertungen
Kommentare
Bewerten

Kommentare

Kommentar hinzufügen

Bitte beachten: Kommentare erscheinen nicht sofort, sondern werden innerhalb von 24 Stunden durch die Redaktion freigeschaltet. Es dürfen keine externen Links, Adressen oder Telefonnummern veröffentlicht werden. Bitte vermeiden Sie aus Datenschutzgründen, Ihre E-Mail-Adresse anzugeben. Fragen zu den Inhalten der Sendung, zur Mediathek oder Wiederholungsterminen richten Sie bitte direkt an die Zuschauerredaktion unter info@daserste.de. Vielen Dank!

*
*

* Pflichtfeld (bitte geben Sie aus Datenschutzgründen hier nicht Ihre Mailadresse oder Ähnliches ein)

Kommentar abschicken

Ihr Kommentar konnte aus technischen Gründen leider nicht entgegengenommen werden

Kommentar erfolgreich abgegeben. Dieser wird so bald wie möglich geprüft und danach veröffentlicht. Es gelten die Nutzungsbedingungen von DasErste.de.