Sicherheitslücken auf dem „weißen Markt“

Von Richard Werner, Business Consultant

Die Trend Micro Zero Day Initiative veranstaltet auch in diesem Jahr wieder den Wettbewerb Mobile Pwn2Own, bei dem IT-Sicherheits-Experten aufgefordert sind, Sicherheitslücken in Smartphones aufzudecken. Dabei können sie hohe Preisgelder von insgesamt über einer halben Million US-Dollar gewinnen. Doch warum das Ganze?

Um erfolgreich in ein IT-System eindringen zu können, benötigt ein Angreifer Malware. Wenn das System gut geschützt ist, genügt dabei unter Umständen keine „normale“ Schadsoftware. Es werden stärkere Geschütze erforderlich, idealerweise nutzt man unbekannte und damit ungeschützte Sicherheitslücken in bereits installierter Software. Diese gibt es im Regelfall in jeder Software, unabhängig von ihrem Alter oder der Steuerung durch den Hersteller. Es ist „normal“, dass Software Fehler hat.

Weltweit suchen Hacker schon lange nach diesen Lücken. Ursprünglich ging es vielen IT-Experten tatsächlich darum, den Herstellern von Software zu zeigen, wo kritische Lücken in ihrer Software waren. Leider war die Entlohnung oftmals denkbar schlecht: Bestenfalls gab es ein paar Dollar und eine öffentliche Danksagung. Dies hatte zur Folge, dass viele Hacker sich nach anderen Wegen umsahen, um Ihre Erkenntnisse zu Geld zu machen.

So entstanden drei verschiedene Arten von Märkten, auf denen Schwachstellen in Software gehandelt werden:

  1. Auf dem Schwarzmarkt, häufig im Darknet, verkaufen skrupellose Hacker die aufgefundenen Sicherheitslücken an denjenigen, der Ihnen die größte Summe bietet. Hier können Hacker die höchsten Preise erzielen, laufen aber auch Gefahr, bei Angriffen der Mittäterschaft angeklagt zu werden.
  2. Den „grauen Markt“ bilden Firmen wie die israelische „NSO Group“. Diese kaufen Kenntnisse über Schwachstellen, um diese dann ausschließlich an Regierungsbehörden weiter zu verkaufen. Regierungen verwenden diesen Code, um andere Staaten oder auch die eigene Bevölkerung auszuspionieren (Stichwort „Staatstrojaner“).
  3. Schließlich gibt es den „weißen Markt“ – die „Spielverderber“ in dieser Runde. Wenn Hacker ihre Erkenntnisse auf dem Weißen Markt verkaufen, können sie sichergehen, dass die Sicherheitslücken geschlossen werden. Dahinter stehen in der Regel Sicherheitsunternehmen. Hier werden zwar möglicherweise geringere Preise gezahlt als in den anderen Märkten, dafür ist es legal und ethisch einwandfrei.

Um so einen „Weißen Markt“ handelt es sich bei dem Wettbewerb „Mobile Pwn2Own“. Im Fokus stehen dabei aus gutem Grund Smartphones: Unsere täglichen Begleiter sind enorm leistungsfähig, stellen deshalb aber auch eine Gefahr dar. Sie können neben den üblichen cyberkriminellen Machenschaften wie Datendiebstahl, Onlinebanking-Missbrauch und Ransomware auch den Nutzer selbst ausspionieren. Dazu werden beispielsweise Mails, Chats oder Telefonate abgefangen, mitgehört oder kopiert. Auch die Steuerung von Kamera und Mikrofon von außen gehört zu den Möglichkeiten eines mobilen Angriffs.

Das Handy kann also zur Komplettüberwachung eines Menschen missbraucht werden. Unterschiedliche Akteure versuchen regelmäßig, dieses Potential für ihre Zwecke zu nutzen. So hat zuletzt zum Jahreswechsel die Schwachstelle „Pegasus“ in Apples iOS für weltweite Schlagzeilen gesorgt. Diese wurde im „Grauen Markt“ an eine Regierung verkauft.

Eben solche Schwachstellen sollen bei dem Wettbewerb aufgedeckt werden. Aber anders als im schwarzen oder grauen Markt, bei denen man von einer offensiven Nutzung einer solchen Lücke ausgehen muss, wird sie hier gezielt geschlossen. Der Hersteller des betroffenen Geräts erhält die Möglichkeit, einen Patch zu erstellen und einzusetzen, um die Nutzer damit zu schützen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*