Heikle Sicherheitslücken schaffen es immer wieder in die Medien. Was in der Berichterstattung oft fehlt, ist der Hinweis darauf, dass die größere Gefahr nicht von den Sicherheitslücken ausgeht, die allgemein bekannt sind. Sondern von den noch unbekannten Sicherheitslücken, die auf halblegalen Online-Märkten teilweise für Millionenbeträge zum Verkauf angeboten werden. Um diese „Zero Days“ hat sich längst ein hochprofessioneller, internationaler Markt gebildet, auf dem sowohl Cyberkriminelle, internationale Geheimdienste als auch Schwachstellen-Händler und -Spekulanten miteinander konkurrieren.
Von der Schwachstelle zum Zero-Day-Exploit
Am Anfang steht eine Sicherheitslücke. Denn Soft- oder Hardwares ohne Sicherheitslücken gibt es nicht. Eine solche Schwachstelle ist meist ein Fehler in einer Soft- oder Hardware, durch den sich Angreifer über ein Programm mit Schadwirkung (Exploit) Zugriff auf Computersysteme beschaffen können. Die Schadwirkung reicht vom bloßen Abgreifen von Informationen bis hin zur gesamten Kontrollübernahme eines Systems.
Wurde eine Schwachstelle von jemandem entdeckt, bevor der Hersteller darauf aufmerksam geworden ist, handelt es sich um einen Zero Day. Die englische Namensgebung bezieht sich auf die Anzahl der Tage, die der Hersteller hatte, um die Schwachstelle zu beheben. Da der Hersteller jedoch nichts über die Existenz der Schwachstelle weiß, kann er sie nicht beheben. Das macht den Erfolg der Zero Days aus.
Zero Day ist nicht gleich Zero Day
Die seltensten und somit wertvollsten Zero Days erfüllen eine oder mehrere der folgenden Vorrausetzungen: Sie betreffen weitverbreitete, generell als sicher geltende Produkte mit Zugang zu sensiblen Daten (z. B. WhatsApp), sie räumen den Angreifern weitreichende Befugnisse (z. B. komplette Kontrollübernahme) ein, lassen sich nur schwer durch den Hersteller beheben und hinterlassen wenige Spuren. Aufgrund der Seltenheit können diese Zero Days bis zu zwei Millionen Dollar kosten.
Während gewöhnliche Cyberkriminelle kaum solche Summen aufbringen wollen, kann eine entsprechend kritische Sicherheitslücke für einen ausländischen Geheimdienst durchaus den Preis wert sein, wenn auf entsprechend hochkarätige Opfer gezielt wird. Sobald der Zero Day öffentlich bekannt wird, sinkt der Preis in der Regel auf null – jedenfalls dann, wenn der Hersteller die entsprechende Sicherheitslücke schnell schließen kann.
Zero-Day-Markt: Viele unterschiedliche Akteure
Einen Handel mit Sicherheitslücken gibt es bereits seit Ende der 1990er Jahre, als US-amerikanische Unternehmen damit begannen, die Suche nach Schwachstellen in der eigenen Software an freiberufliche Sicherheitsforscher:innen auszulagern. Parallel dazu entstand der Schwarzmarkt, auf dem gefundene Sicherheitslücken nicht an die Hersteller, sondern an einen Höchstbietenden verkauft wurden. Dies führte wiederum dazu, dass Unternehmen entstanden, die diese illegalen Marktplätze für zahlkräftige Kund:innen durchsuchten und überwachten. So entstand der Geschäftszweig der „Threat Intelligence“ – zunächst für Großbanken und Regierungen.
Da damals wie heute nicht nur der Verkauf von Schwachstellen, sondern bereits das Melden einer Sicherheitslücke auch für ethische Hacker:innen strafrechtlich nicht ungefährlich war, entstanden sogenannte „Vunerability Brokers“ – Zwischenhändler, die die Lücken von Hacker:innen einkaufen und an den Meistbietenden weiterverkaufen. Aus Sicht der Hacker:innen liegt deren Wert darin, dass sie über Marktwissen und rechtliche Entitäten in strategisch wichtigen Jurisdiktionen verfügen und Anonymität bieten.
Heute besteht dieser hochkomplexe Markt aus drei Gruppen: Die verkaufende Seite bilden Hacker:innen, die die Fähigkeiten haben, solche hochkarätigen Zero Days zu finden und zugleich dazu bereit sind, sie für (offensive) und potenziell illegale Zwecke zu verkaufen. Die weltweite Elite der Hacker:innen ist sehr überschaubar: Die Anzahl wird von Moar Schwartz, Gründer der Vulnerability Broker Firma Q-recon, auf weltweit 400 Personen geschätzt. Diese „Vulnerability Brokers“ übernehmen dann gegen eine Kommission den logistischen Teil des Geschäfts.
Die kaufende Seite hingegen besteht aus Regierungsorganisationen, Privatfirmen (wie die NSO Group) und Cyberkriminellen, wobei die Trennlinien oft nicht klar sind. Alle haben gemein, dass Schwachstellen ausgenutzt werden sollen. Regierungen sind dabei oft auf die Produkte und Dienstleistungen von Privatfirmen angewiesen und führen selbst lediglich die eigentlichen Operationen durch (d.h. „Pay-to-Play“). Cyberkriminelle finden sich ebenfalls gehäuft auf dem Markt. Da sie oft weniger Geld zur Verfügung haben, von den Verkäufer:innen teils ausgeschlossen werden und bei ihren Angriffszielen flexibler sind, sind sie weniger auf Zero Days angewiesen.
Als eine Art Gegenpol zum eigentlichen Markt kann die defensive Seite gesehen werden. Sie besteht aus Sicherheitsforscher:innen, die entweder selbstständig oder für IT-Sicherheitsfirmen arbeiten, oft idealistisch motiviert sind und ein Interesse daran haben, Schwachstellen zu schließen, bevor sie ausgenutzt werden. Bug Bounty Programme und Plattformen (z. B. HackerOne) gehören ebenfalls dazu.
Zero Days als Schwachstelle
Die Probleme, die mit der Entstehung des Zero Day Marktes einhergehen, sind dabei offenkundig: In dem der Markt das Kaufen und Sammeln von Zero Days („Bug Hoarding“) ermöglicht, wird die generelle Schwächung der Cybersicherheit in Kauf genommen oder sogar weiter vorangetrieben. Zudem kann zu keinem Zeitpunkt sichergestellt werden, wer über Wissen von gekauften oder gefundenen Zero Days verfügt. Im Zweifel muss angenommen werden, dass der:die Gegner:in trotz potentieller Exklusivverträge ebenfalls im Besitz des Wissens ist.
Hinzu kommt, dass auch Informationen über Schwachstellen geklaut werden können. 2017 stahl Shadow Brokers, eine anonyme Gruppe von Hacker:innen, beispielsweise ein komplettes Arsenal an Schwachstellen und Exploits von der NSA. Nachdem kein Käufer:in gefunden wurde, veröffentlichten sie die Sammlung online. Darunter befand sich EternalBlue, ein Exploit, welcher die Verbreitung von WannaCry im Jahr 2017 ermöglichte. Teile der globalen Wirtschaft waren davon stark betroffen.
Regulierungen helfen nur bedingt
Es gibt viele Vorschläge, wie mit dem Zero Day Markt, umgegangen werden soll: Zum einen werden stärkere Regulierungen (z. B. Wassenaar-Abkommen) des bisher nur wenig bis gar nicht regulierten Marktes gefordert. Da es sich um digitale Produkte handelt und viele Transaktionen im Untergrund auf Plattformen und über viele Jurisdiktionen hinweg stattfinden, sind Verbote allerdings praktisch gesehen schwer durchzusetzen.
Für Soft- und Hardwareproduzenten bleibt oft nur, die eigenen Produkte durch kontinuierliche Cybersicherheitsarbeit möglichst schwer angreifbar zu machen. Höhere Investitionen und Innovationen im Security Development Lifecycle können die Sicherheit von Produkten steigern.
Auch ist die nachträgliche Suche nach den Kernursachen von auftretenden Zero Days essentiell. Oft beschränken sich Organisationen jedoch aus Kosten- und Zeitgründen darauf, Sicherheitslücken durch die schnelle Bereitstellung eines Patches zu flicken. Dies hat nicht nur unvollständige Patches zur Folge, Organisationen verpassen zudem die Chance, zukünftigen Schwachstellen vorzubeugen. Google’s Project Zero ist ein gutes Beispiel produktübergreifend die Kernursachen von Zero Days herauszufinden und die jeweils darunterliegende Problemklasse (z. B. Buffer Overflow) zu definieren. Am Ende sollen die Erkenntnisse im Idealfall ganze Problemklassen beheben und es Hacker:innen schwerer machen.
Daneben sind Bug Bounty Programme ein wichtiger Teil der Lösung. Die Prämien müssen dabei hoch genug sein, um die Hacker:innen davon abzubringen, die Schwachstellen auf dem Schwarzmarkt zu verkaufen. Wichtig ist auch, dass Unternehmen in ihrer Kommunikation und Wertschätzung fair mit Programmteilnehmer:innen umgehen, da sie sonst unattraktiv werden. Unternehmen sollten auch in Betracht ziehen Tools und Techniken für die Identifikation von Schwachstellen in die Programme aufzunehmen.
Darüber hinaus können Zero Day Märkte anhand von Threat Intelligence Lösungen überwacht werden. Anbieter dieser Lösungen haben häufig Zugang zu zahlreiche Foren und Plattformen im Dark Web, stehen teils über verdeckte Identitäten direkt mit Vulnerability Brokers und Hacker:innen im Kontakt und informieren betroffene Unternehmen zeitnah über existierende Exploits.
Wie die Zukunft des Zero Day Marktes aussieht, ist ungewiss. Wichtige Fragen, die wahrscheinlich erst mit der Zeit beantwortet werden können, sind wie sich supranationale Bündnisse auf die Marktdynamik auswirken, welche Rolle Sanktionen durch wirtschaftliche Großmächte wie die USA gegenüber Anbietern wie NSO spielen sowie welche Effekte Klagen von gehackten Unternehmen gegenüber Anbietern haben werden. Bis dahin ist womöglich der beste Rat die eigene IT-Sicherheit zu stärken, um sich vor Angriffen zu schützen.
Julian-Ferdinand Vögele ist Threat Intelligence Analyst beim Cybersicherheitsunternehmen Recorded Future.