Cybersecurity icon

Cybersecurity

Standpunkte Zero-Day – Das lukrative Geschäft mit Sicherheitslücken

Julian-Ferdinand Vögele, Threat Intelligence Analyst bei Recorded Future
Julian-Ferdinand Vögele, Threat Intelligence Analyst bei Recorded Future Foto: Vincent Wechselberger

Heartbleed, Shellshock, Log4Shell – alle paar Jahre findet eine besonders heikle Sicherheitslücke den Weg in die öffentliche Wahrnehmung. Doch die größere Gefahr lauert an anderer Stelle, weiß Julian-Ferdinand Vögele und fordert mehr Sichtbarkeit für Zero-Days-Exploits.

von Julian-Ferdinand Vögele

veröffentlicht am 09.02.2022

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen

Heikle Sicherheitslücken schaffen es immer wieder in die Medien. Was in der Berichterstattung oft fehlt, ist der Hinweis darauf, dass die größere Gefahr nicht von den Sicherheitslücken ausgeht, die allgemein bekannt sind. Sondern von den noch unbekannten Sicherheitslücken, die auf halblegalen Online-Märkten teilweise für Millionenbeträge zum Verkauf angeboten werden. Um diese „Zero Days“ hat sich längst ein hochprofessioneller, internationaler Markt gebildet, auf dem sowohl Cyberkriminelle, internationale Geheimdienste als auch Schwachstellen-Händler und -Spekulanten miteinander konkurrieren.

Von der Schwachstelle zum Zero-Day-Exploit

Am Anfang steht eine Sicherheitslücke. Denn Soft- oder Hardwares ohne Sicherheitslücken gibt es nicht. Eine solche Schwachstelle ist meist ein Fehler in einer Soft- oder Hardware, durch den sich Angreifer über ein Programm mit Schadwirkung (Exploit) Zugriff auf Computersysteme beschaffen können. Die Schadwirkung reicht vom bloßen Abgreifen von Informationen bis hin zur gesamten Kontrollübernahme eines Systems.

Wurde eine Schwachstelle von jemandem entdeckt, bevor der Hersteller darauf aufmerksam geworden ist, handelt es sich um einen Zero Day. Die englische Namensgebung bezieht sich auf die Anzahl der Tage, die der Hersteller hatte, um die Schwachstelle zu beheben. Da der Hersteller jedoch nichts über die Existenz der Schwachstelle weiß, kann er sie nicht beheben. Das macht den Erfolg der Zero Days aus.

Zero Day ist nicht gleich Zero Day

Die seltensten und somit wertvollsten Zero Days erfüllen eine oder mehrere der folgenden Vorrausetzungen: Sie betreffen weitverbreitete, generell als sicher geltende Produkte mit Zugang zu sensiblen Daten (z. B. WhatsApp), sie räumen den Angreifern weitreichende Befugnisse (z. B. komplette Kontrollübernahme) ein, lassen sich nur schwer durch den Hersteller beheben und hinterlassen wenige Spuren. Aufgrund der Seltenheit können diese Zero Days bis zu zwei Millionen Dollar kosten.

Während gewöhnliche Cyberkriminelle kaum solche Summen aufbringen wollen, kann eine entsprechend kritische Sicherheitslücke für einen ausländischen Geheimdienst durchaus den Preis wert sein, wenn auf entsprechend hochkarätige Opfer gezielt wird. Sobald der Zero Day öffentlich bekannt wird, sinkt der Preis in der Regel auf null – jedenfalls dann, wenn der Hersteller die entsprechende Sicherheitslücke schnell schließen kann.

Zero-Day-Markt: Viele unterschiedliche Akteure

Einen Handel mit Sicherheitslücken gibt es bereits seit Ende der 1990er Jahre, als US-amerikanische Unternehmen damit begannen, die Suche nach Schwachstellen in der eigenen Software an freiberufliche Sicherheitsforscher:innen auszulagern. Parallel dazu entstand der Schwarzmarkt, auf dem gefundene Sicherheitslücken nicht an die Hersteller, sondern an einen Höchstbietenden verkauft wurden. Dies führte wiederum dazu, dass Unternehmen entstanden, die diese illegalen Marktplätze für zahlkräftige Kund:innen durchsuchten und überwachten. So entstand der Geschäftszweig der „Threat Intelligence“ – zunächst für Großbanken und Regierungen.

Da damals wie heute nicht nur der Verkauf von Schwachstellen, sondern bereits das Melden einer Sicherheitslücke auch für ethische Hacker:innen strafrechtlich nicht ungefährlich war, entstanden sogenannte „Vunerability Brokers“ – Zwischenhändler, die die Lücken von Hacker:innen einkaufen und an den Meistbietenden weiterverkaufen. Aus Sicht der Hacker:innen liegt deren Wert darin, dass sie über Marktwissen und rechtliche Entitäten in strategisch wichtigen Jurisdiktionen verfügen und Anonymität bieten.

Heute besteht dieser hochkomplexe Markt aus drei Gruppen: Die verkaufende Seite bilden Hacker:innen, die die Fähigkeiten haben, solche hochkarätigen Zero Days zu finden und zugleich dazu bereit sind, sie für (offensive) und potenziell illegale Zwecke zu verkaufen. Die weltweite Elite der Hacker:innen ist sehr überschaubar: Die Anzahl wird von Moar Schwartz, Gründer der Vulnerability Broker Firma Q-recon, auf weltweit 400 Personen geschätzt. Diese „Vulnerability Brokers“ übernehmen dann gegen eine Kommission den logistischen Teil des Geschäfts.

Die kaufende Seite hingegen besteht aus Regierungsorganisationen, Privatfirmen (wie die NSO Group) und Cyberkriminellen, wobei die Trennlinien oft nicht klar sind. Alle haben gemein, dass Schwachstellen ausgenutzt werden sollen. Regierungen sind dabei oft auf die Produkte und Dienstleistungen von Privatfirmen angewiesen und führen selbst lediglich die eigentlichen Operationen durch (d.h. „Pay-to-Play“). Cyberkriminelle finden sich ebenfalls gehäuft auf dem Markt. Da sie oft weniger Geld zur Verfügung haben, von den Verkäufer:innen teils ausgeschlossen werden und bei ihren Angriffszielen flexibler sind, sind sie weniger auf Zero Days angewiesen.

Als eine Art Gegenpol zum eigentlichen Markt kann die defensive Seite gesehen werden. Sie besteht aus Sicherheitsforscher:innen, die entweder selbstständig oder für IT-Sicherheitsfirmen arbeiten, oft idealistisch motiviert sind und ein Interesse daran haben, Schwachstellen zu schließen, bevor sie ausgenutzt werden. Bug Bounty Programme und Plattformen (z. B. HackerOne) gehören ebenfalls dazu.

Zero Days als Schwachstelle

Die Probleme, die mit der Entstehung des Zero Day Marktes einhergehen, sind dabei offenkundig: In dem der Markt das Kaufen und Sammeln von Zero Days („Bug Hoarding“) ermöglicht, wird die generelle Schwächung der Cybersicherheit in Kauf genommen oder sogar weiter vorangetrieben. Zudem kann zu keinem Zeitpunkt sichergestellt werden, wer über Wissen von gekauften oder gefundenen Zero Days verfügt. Im Zweifel muss angenommen werden, dass der:die Gegner:in trotz potentieller Exklusivverträge ebenfalls im Besitz des Wissens ist.

Hinzu kommt, dass auch Informationen über Schwachstellen geklaut werden können. 2017 stahl Shadow Brokers, eine anonyme Gruppe von Hacker:innen, beispielsweise ein komplettes Arsenal an Schwachstellen und Exploits von der NSA. Nachdem kein Käufer:in gefunden wurde, veröffentlichten sie die Sammlung online. Darunter befand sich EternalBlue, ein Exploit, welcher die Verbreitung von WannaCry im Jahr 2017 ermöglichte. Teile der globalen Wirtschaft waren davon stark betroffen.

Regulierungen helfen nur bedingt

Es gibt viele Vorschläge, wie mit dem Zero Day Markt, umgegangen werden soll: Zum einen werden stärkere Regulierungen (z. B. Wassenaar-Abkommen) des bisher nur wenig bis gar nicht regulierten Marktes gefordert. Da es sich um digitale Produkte handelt und viele Transaktionen im Untergrund auf Plattformen und über viele Jurisdiktionen hinweg stattfinden, sind Verbote allerdings praktisch gesehen schwer durchzusetzen.

Für Soft- und Hardwareproduzenten bleibt oft nur, die eigenen Produkte durch kontinuierliche Cybersicherheitsarbeit möglichst schwer angreifbar zu machen. Höhere Investitionen und Innovationen im Security Development Lifecycle können die Sicherheit von Produkten steigern.

Auch ist die nachträgliche Suche nach den Kernursachen von auftretenden Zero Days essentiell. Oft beschränken sich Organisationen jedoch aus Kosten- und Zeitgründen darauf, Sicherheitslücken durch die schnelle Bereitstellung eines Patches zu flicken. Dies hat nicht nur unvollständige Patches zur Folge, Organisationen verpassen zudem die Chance, zukünftigen Schwachstellen vorzubeugen. Google’s Project Zero ist ein gutes Beispiel produktübergreifend die Kernursachen von Zero Days herauszufinden und die jeweils darunterliegende Problemklasse (z. B. Buffer Overflow) zu definieren. Am Ende sollen die Erkenntnisse im Idealfall ganze Problemklassen beheben und es Hacker:innen schwerer machen.

Daneben sind Bug Bounty Programme ein wichtiger Teil der Lösung. Die Prämien müssen dabei hoch genug sein, um die Hacker:innen davon abzubringen, die Schwachstellen auf dem Schwarzmarkt zu verkaufen. Wichtig ist auch, dass Unternehmen in ihrer Kommunikation und Wertschätzung fair mit Programmteilnehmer:innen umgehen, da sie sonst unattraktiv werden. Unternehmen sollten auch in Betracht ziehen Tools und Techniken für die Identifikation von Schwachstellen in die Programme aufzunehmen.

Darüber hinaus können Zero Day Märkte anhand von Threat Intelligence Lösungen überwacht werden. Anbieter dieser Lösungen haben häufig Zugang zu zahlreiche Foren und Plattformen im Dark Web, stehen teils über verdeckte Identitäten direkt mit Vulnerability Brokers und Hacker:innen im Kontakt und informieren betroffene Unternehmen zeitnah über existierende Exploits.

Wie die Zukunft des Zero Day Marktes aussieht, ist ungewiss. Wichtige Fragen, die wahrscheinlich erst mit der Zeit beantwortet werden können, sind wie sich supranationale Bündnisse auf die Marktdynamik auswirken, welche Rolle Sanktionen durch wirtschaftliche Großmächte wie die USA gegenüber Anbietern wie NSO spielen sowie welche Effekte Klagen von gehackten Unternehmen gegenüber Anbietern haben werden. Bis dahin ist womöglich der beste Rat die eigene IT-Sicherheit zu stärken, um sich vor Angriffen zu schützen.

Julian-Ferdinand Vögele ist Threat Intelligence Analyst beim Cybersicherheitsunternehmen Recorded Future.

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen