Handel mit Software-Schwachstellen: 100 000 Dollar für eine Lücke

Man stelle sich vor, ein Haus ist von einem hohen Zaun umgeben, hat ein dickes Schloss an der Tür und überdies eine Überwachungskamera - und trotzdem können Einbrecher unbemerkt eindringen und das Tafelsilber stehlen. Was nach einer Räuberpistole klingt, ist bei Computern mit Internet-Anschluss Alltag: Viele populäre Programme haben Sicherheitslücken, die der Hersteller noch nicht kennt - dafür aber Cyber-Kriminelle. Ein aktueller Fall bringt dieses Problem in die Schlagzeilen: Der Internet Explorer von Microsoft weist seit Tagen eine Lücke auf, durch die Angreifer die Kontrolle über fremde Rechner erobern können. Erst heute hat Microsoft einen Patch angekündigt.

Auch wenn derzeit Microsoft in der Kritik steht, betrifft das Problem die gesamte Software-Industrie. Denn kein Programm kommt perfekt auf den Markt. Ein Programmierfehler kann schnell zum Hintertürchen für Hacker werden: Wenn der Hersteller nicht über eine Sicherheitslücke Bescheid weiß, können sie ohne Gegenwehr das System angreifen. "Die Angreifer zielen auf die gängigsten Produkte, also Betriebssysteme und Browser", berichtet Rainer Link, Sicherheits- Experte beim Softwarehersteller Trend Micro.

Findige Hacker arbeiteten früher zumeist für Ruhm und Ehre - heute können sie richtig Kasse machen: Die Suche nach bislang unbekannten Sicherheitslücken ist zu einem einträglichen Geschäft geworden. So loben Hersteller von Sicherheits-Software wie zum Beispiel die US-Unternehmen iDefense und Tipping Point Belohnungen aus. Das Schweizer Unternehmen WabiSabiLabi versteigert auf einer Plattform im Internet Sicherheitslücken und Angriffsprogramme. Die Gebote erreichen derzeit bis zu 5 000 Dollar.

Experte: Vertrauliche Daten auf Rechner ohne Internet-Zugang lagern

In geheimen Foren im Internet dürften die Preise deutlich höher liegen: "Da werden Summen von mehr als 100 000 Dollar kolportiert", sagt Hartmut Pohl, Professor für Informationssicherheit an der Fachhochschule Bonn-Rhein-Sieg. Zu den Käufern zählt er Cyber-Kriminelle, die Betriebsgeheimnisse oder Kontodaten ausspionieren, aber auch Geheimdienste, die in die Computer vermeintlicher Terrorverdächtiger eindringen wollen. Angesichts dieser Verlockungen hat sich eine Szene entwickelt, die intensiv nach Schwachstellen sucht - keine gute Nachricht für die Sicherheit der Internet-Nutzer.

Die Schuld an der Bedrohung tragen aber nicht nur Kriminelle, sondern auch die Software-Hersteller selbst. "Es dauert oft mehrere Wochen, in extremen Fällen sogar mehrere Monate, bis die Unternehmen die Lücken schließen", sagt Link. Die Lücke zu schließen, ohne im Programmcode ein neues Problem zu schaffen, ist gar nicht so einfach.

Sich gegen entsprechende Angriffe zu schützen, ist also schwierig. Sobald ein Patch zur Verfügung steht, sollten Nutzer diesen sofort installieren. Denn Kriminelle werten den Code der Nachbesserungen aus und greifen dann gezielt diese Stelle an - da viele Anwender ihr System nicht aktualisieren, ist gute Ausbeute garantiert. Ansonsten gibt es nur eine Alternative: "Man muss sehr vertrauliche Daten auf einem Rechner aufbewahren, der nicht mit dem Internet verbunden ist", sagt Pohl. Das ist weniger komfortabel, aber deutlich sicherer.

Keine Software lässt sich perfekt programmieren. Die Hersteller können jedoch mit verschiedenen Tests schon bei der Konzipierung ihre Produkte auf Sicherheitslücken überprüfen - Experten sprechen von "Threat Modeling". "Das ist in Deutschland noch wenig verbreitet", sagt IT-Experte Pohl. Microsoft arbeite trotz der aktuellen Schelte schon seit einigen Jahren mit solchen Werkzeugen. Das Betriebssystem Vista gilt in puncto Sicherheit etwa unter Fachleuten als besser als seine Vorgänger. Kontodaten und Liebesbriefe lagern jedenfalls schon ein bisschen sicherer als früher.

dpa / Ralf Trautmann