NSA kauft für 25 Millionen US-Dollar Softwarelücken

Bereits im Mai wurde bekannt, dass Geheimdienste Teile ihres Budgets nutzen, um Software-Schwachstellen, wie etwa Zero-Day-Exploits, von Malware-Anbietern zu kaufen. Ein Bericht der Washington Post lässt erahnen, welche Ausmaße diese Geschäfte haben. Internen Dokumenten zufolge soll die NSA in diesem Jahr bereits 25 Millionen US-Dollar ihres „Black Budgets“ für „Software-Schwachstellen von privaten Malware-Händlern“ ausgegeben haben.

Die NSA soll auch von großen Software-Anbietern wie Microsoft Schwachstellen vor der Öffentlichkeit mitgeteilt bekommen. Durch die Shopping-Touren im Cyber-Schwarzmarkt können aber selbst Fehler genutzt werden, die dem Software-Hersteller noch nicht bekannt sind, bzw. die Lücken von Programmen, deren Hersteller nicht aus den USA stammen und dementsprechend nicht zur Kooperation mit der NSA gezwungen sind.

Die Leidtragenden sind in dem Fall die Konsumenten. Immer mehr Hacker erliegen der Versuchung, Lücken an diese vermeintliche IT-Security-Unternehmen zu verkaufen, anstatt sie den Herstellern zu melden. Diese Unternehmen übernehmen aber nicht die Aufgabe, die Exploits den Herstellern zu melden, sondern verkaufen sie und machen dabei oft keinen Unterschied, ob die Kunden Geheimdienste, echte IT-Sicherheitsfirmen oder einfach nur Cyberkriminelle sind.