Dan Geer gilt als Koryphäe in Sachen Internetsicherheit. Sein radikaler Vorschlag, durch den Kauf von Sicherheitslücken das Internet sicherer zu machen, sorgte Furore. Wie realistisch die Idee ist, darüber haben wir mit Jürgen Kuri vom Computerfachmagazin c't gesprochen.
Geer ist eine schillernde Figur in der Computerbranche. Der Querdenker und Sicherheitsexperte hat einige bedeutende Netzwerktechnologien mitentwickelt und auch schon für die CIA gearbeitet. Derzeit kursiert ein offener Brief von ihm durchs Netz, der die Branche aufhorchen lässt:
"Liebe amerikanische Regierung, wenn ihr das Internet absichern wollt, dann kauft doch einfach alle Sicherheitslücken für viel Geld auf und veröffentlicht die Infos, damit die Lücken schnell dicht gemacht werden können. Damit legt ihr den Markt für Angreifer trocken und es ist Ruhe im Karton“
Der Markt ist vorhanden
Sicherheitslücken werden nicht aus gutem Willen entdeckt und veröffentlicht, sondern das Gegenteil ist der Fall. Sie zu entdecken und an den Meistbietenden weiterzuverkaufen, ist heute ein Wirtschaftszweig und rentabler Markt, so Jürgen Kuri von der c’t. Käufer sind dabei nicht unbedingt betroffene Unternehmen, sondern vor allem auch Kriminelle, die versuchen, daraus Profit zu schlagen. Doch wer bietet so was an?
„Es sind im Prinzip Sicherheitsexperten, die so ein bisschen auf den falschen Weg gekommen sind. Auf der anderen Seite gibt es natürlich Leute, die gezielt Sicherheitslücken ausnutzen wollen“
Will man Sicherheitslücken erwerben, wird man mit google und Co. nicht sehr weit kommen. Entsprechende Foren finden sich im Deep Net oder Black Net – Fachkenntnisse vorausgesetzt:
"Da muss man schon genau wissen, was man sucht. Da muss man bestimmte Vertrauenslevel erreichen und Empfehlungen haben, um dahin zu kommen. Das ist nicht ganz so einfach"
Der Vorschlag von Geer ist kaum umsetzbar
Alle Lücken aufzukaufen, heißt auch, alle Angebote zu finden. Allein diese Herausforderung ist kaum zu bewerkstelligen – ganz abgesehen von den enorm hohen Summen, die bezahlt werden müssen. Und schließlich sei es ziemlicher Unsinn sich auf einen Wettlauf mit der organisierten Kriminalität einzulassen, kann man doch nie sicher sein, ob man tatsächlich auch alle Sicherheitslücken aufgekauft hat. Und auch den Regierungen sollte man nicht zu sehr vertrauen:
"Es ist ja auch bekannt geworden, dass die Geheimdienste selbst schon unterwegs sind, Sicherheitslücken zu kaufen und zu entdecken, um diese entsprechend auszunutzen“