Wettlauf der Bug-Jäger

Auch Muenchs Unternehmen Gamma wurde daher von Menschenrechtlern im abgelaufenen Jahr heftig kritisiert: Denn die Deutschen sollen ihre Spionagesoftware auch an die Regierungen in Ägypten und Bahrain verkauft haben. In Bahrain wurde FinFisher, in Bilddateien versteckt, an politische Aktivisten verschickt, berichten Forscher des Citizen Lab an der Universität von Toronto. Gamma bestreitet das.

Er handle nur mit autorisierten Regierungs- und Strafverfolgungsbehörden und halte sich an deutsche und englische Exportvorschriften, sagt Muench. Kritiker wie Datenschützer Soghoian halten das für Vernebelungstaktik. Der Handel mit Zero-Day-Exploits unterliege in keinem der Länder einer Regulierung.

Auch Vupen-Gründer Bekrar bemüht sich um eine weiße Weste. Sein Unternehmen arbeite nur mit Kunden aus Staaten der Bündnisse NATO, ANZUS (Australia, New Zealand, United States) und dem Verband Südostasiatischer Nationen ASEAN. Dass Letzterem auch weniger lupenreine Demokratien wie Kambodscha, Brunei oder Myanmar angehören, unterschlägt der Schwachstellen-Dealer.

Unklar bleibt zudem, wie Gamma und Vupen verhindern wollen, dass ihre digitalen Waffen in die Hände Dritter gelangen. Denn anders als Panzer oder Raketen lässt sich ein Programmcode unbemerkt verteilen: Selbst auf kleinste USB-Sticks passen Zehntausende Exploits.

Und so ist ein Wettlauf entbrannt zwischen den Profiteuren der Lücken - und den Softwareproduzenten, die sie zu schließen versuchen.

Alle setzen auf die gleiche Taktik

Das Problem: Nahezu jedes Programm hat quasi ab Werk Bugs eingebaut. Moderne Software ist so komplex, dass Programmierer fast zwangsläufig Fehler machen. Und je umfangreicher ein Programm ist, desto mehr Bugs verstecken sich im Code.

Microsofts Betriebssystem Windows 7 soll mehr als 50 Millionen Zeilen Programmcode umfassen. Die NetWeaver-Plattform der Businesssoftware des deutschen Softwarehauses SAP bestand schon vor fünf Jahren aus mehr als 230 Millionen solcher Zeilen. Im Zahlen- und Zeilenwust Fehler zu finden erinnert an die Suche nach der Nadel im Heuhaufen.

Es ist eine Arbeit für Spezialisten. Dabei setzen Spitzel, Schurken und Softwareproduzenten auf die gleichen Taktiken. Sie rücken Anwendungen und Betriebssystemen mit speziellen Softwarewerkzeugen zu Leibe. Ziel der Stresstests für die Software ist jeweils, die Systeme zu unvorhergesehenem Verhalten oder gar zum Absturz zu bringen. Denn solche Crashs deuten auf Fehler hin, die die Experten dann auf Missbrauchspotenzial untersuchen.

Bug-Jäger aus aller Welt

Viele Softwarekonzerne gehören daher selbst zu den Kunden der Bug-Händler: Im Rahmen von Belohnungsprogrammen wie die Zero Day Initiative (ZDI) oder iDefense kauft die Industrie Hinweise auf Softwarelücken auf - und zahlt laut Brancheninformationen bis zu 10 000 Dollar pro gefundenen Fehler.

Verkäufer sind Hacker auf der ganzen Welt. Wie der junge Russe Alexander Gavrun - Hackername 0x1byte -, der nach eigenen Angaben vom Verkauf der Bugs an ZDI oder Google lebt: „Als Bug-Jäger verdiene ich in Russland mehr als ein Programmierer oder System-Administrator.“ Im Schnitt benötige er einen Monat, um schwere Bugs in weit verbreiteter Software wie etwa Adobes Flash zu entdecken. Sein Hauptabnehmer, versichert Gavrun, sei ZDI. Dass die deutlich weniger zahlten als Regierungseinkäufer oder Kriminelle, sei - "ganz ehrlich" - kein Problem. "Ich hatte Kontakt in diesen Szenen. Ich will damit nichts zu tun haben."

Pro Fehler 3000 Dollar

Auch der Chinese Wu Shi gibt sich gesetzestreu. Der 37-Jährige wandte sich Bugs zu, nachdem eine Festanstellung als IT-Spezialist in China genauso wenig einträglich war wie sein selbstgegründetes Startup. Seine Spezialität sind Browser wie Apples Safari, Chrome oder der Internet Explorer. An den kriminellen Online-Untergrund will der in Shanghai lebende Wu nicht verkaufen: "Ich arbeite gerne direkt mit Herstellern", sagt er. Im Schnitt liege das Honorar pro Bug bei 3000 Dollar. Mehr als 100 Schwachstellen hat Wu schon aufgedeckt.

Doch die Softwarebranche hat noch keine einheitliche Antwort auf den Handel mit Bugs gefunden. Adobe, Apple oder Microsoft zahlen grundsätzlich nichts für Hinweise auf Schwachstellen in ihren Produkten, um sich nicht erpressbar zu machen. Vupen-Chef Bekrar findet das inkonsequent, schließlich steckten Softwarehersteller jährlich Millionen in interne Sicherheitschecks, Programmcodeanalysen oder Prüfsoftware.

Zu denen, die auf dem Graumarkt mitbieten, gehören dagegen Facebook, Google oder der Bezahldienstleister PayPal. Sie alle haben sogenannte Bug-Bounty-Initiativen gestartet, Prämienprogramme für Fehler-Finder. Doch die von Google an Informanten ausgeschütteten Summen sind nur Bruchteile dessen, was etwa Geheimdienste zu zahlen bereit sind.

Und so nahm etwa Vupen-Chef Bekrar bereits an einer von Google organisierten Jagd nach Lücken in dessen Browser Chrome teil - nahm aber die 60 000 Dollar Preisgeld für die gefundene Lücke nicht an. Denn Google hatte gefordert, die Details des Angriffs offenzulegen. Damit aber hätte sich der Bug-Broker den lukrativen Weiterverkauf der Schwachstelle verbaut. (rs/sh)

(Quelle: Wirtschaftswoche)