BR24 Logo
BR24 Logo
Wirtschaft

Zero Days: Das gefährliche Geschäft mit IT-Sicherheitslücken | BR24

© BR

Software-Updates schließen auch Sicherheitslücken. Doch wehe, wenn kriminelle Hacker diese Lücken vorher finden. Wir tauchen ein in die Welt des Cyber Crime.

1
Per Mail sharen
Teilen
  • Artikel mit Video-Inhalten

Zero Days: Das gefährliche Geschäft mit IT-Sicherheitslücken

Schwachstellen in Computerprogrammen sind gefährlich. Nutzer sollten daher Sicherheits-Updates installieren. Doch wo Hersteller die Fehler der Software nicht erkennen, tut sich ein gigantischer Schwarzmarkt für Cyber-Kriminelle auf.

1
Per Mail sharen
Teilen

Es ist erschreckend einfach, sich in die Wohnzimmer der Menschen zu hacken, erklärt Benjamin Mejri von der Firma Evolution Security. Seit 20 Jahren handelt er mit gefährlichen Sicherheitslücken in Computerprogrammen. Vor Kurzem hat er eine neue Schwachstelle in einem Webradio entdeckt, das derzeit im Handel ist: Bei diesem Webradio hätten er und sein Team "kritische Sicherheitslücken gefunden und konnten am Ende auf 1,5 Millionen Endgeräte zugreifen".

Cryber-Kriminelle handeln mit gefährlichen Schwachstellen

Ein krimineller Hacker, ein sogenannter Black Hat Hacker, könnte in all diese Webradios einbrechen, sagt Benjamin Mejri: "Je nachdem, wo diese Webradios stehen, ist man dann direkt in privaten Haushalten drin oder im Netz der Firma."

Kriminelle könnten über diese Schwachstelle sogar Kontodaten ausspähen. Sie bieten für solche Lücken 5.000 bis 10.000 Euro an. Doch das ist für Benjamin Mejri keine Option, mit Kriminellen macht er keine Geschäfte. Er hat die Sicherheitslücke an den Hersteller verkauft.

Kritische Sicherheitslücken melden "gute" Hacker an das weltweite Schwachstellenverzeichnis am US-amerikanischen National Institute of Standards and Technology (NIST). Dort ist übrigens auch die Web-Radio-Schwachstelle verzeichnet, unter der Nummer 13473. Hersteller bieten mittlerweile Updates für diese an.

Gute Hacker vs. böse Hacker

Täglich kommen unzählige Schwachstellen in Computerprogrammen dazu. Auch China und Deutschland veröffentlichen Informationen zu Schwachstellen.

Sicherheitslücken können überall lauern: in Medizingeräten, in Staubsaugern, Schließsystemen oder Industrieanlagen. Alle Geräte, die mit dem Internet verbunden sind, können betroffen sein und sind dann ein Ziel für Hacker. Wenn gute Hacker, sogenannte White Hat Hacker, Schwachstellen an den Hersteller melden, sprechen sie vom sogenannte Zero Day - dem Tag Null. Weiß der Hersteller von der Schwachstelle, kann er ein Update bereitstellen und die Zero Day-Schwachstelle damit schließen.

Böse Hacker melden Zero-Day-Schwachstellen nicht, sondern machen sie auf dem Schwarzmarkt zu Geld. Zum Beispiel auf sogenannten Zero-Day-Märkten im Darknet. Gehandelt werden Sicherheitslücken bei Twitter oder Instagram. Der Preis notiert in Bitcoin.

Münchner Cyber Sicherheitskonferenz

Auch auf der Münchner Cyber Sicherheitskonferenz vergangene Woche waren sind Zero Day-Schwachstellen ein Thema.

"Zero Days sind natürlich eine riesen Herausforderung, weil sie die größte Bedrohung sind. Davor kann man sich nicht schützen. Das ist letztlich wie Atomwaffen." Michael George, Bayerisches Landesamt für Verfassungsschutz

Zero Days-Gefahr: Sicherheitslücke im Herzschrittmacher

Doch neben Schwarzmarkthändlern gibt es noch weitere Akteure im dubiosen Geschäft mit Sicherheitslücken. Die kennen White Hat Hacker Marco Di Filippo und Tobias Zillner. Zillner war 2016 an der Aufdeckung einer brandgefährlichen Schwachstelle beteiligt, ausgerechnet in einem Herzschrittmacher. Ein einfacher Befehl beim Hochfahren des Geräts genügte ihm für den Hack. Er beschreibt, wie er damals vorging.

"Wir resetten das Gerät und unterbrechen den Bootvorgang, starten das Gerät neu mit zusätzlichen Parametern. Damit umgehen wir die Passwort-Abfrage und haben sofort administrativen Zugriff auf das Gerät." Tobias Zillner, guter Hacker

Der IT-Spezialist hätte Daten in die Cloud-Verbindung schreiben, Passwörter lesen und noch einiges mehr können: "Für den Patienten heißt das, ich kann einerseits den Rhythmus verändern und ich kann aber auch im schlimmsten Fall tödliche Schocks auslösen." Die Herzschrittmacher der Firma St. Jude Medical bekamen später Sicherheitsupdates.

Finanzwetten an der Börse mit IT-Sicherheitslücken

Was Tobias Zillner zum Zeitpunkt seiner Schwachstellen-Analyse nicht wusste: Die IT-Sicherheitsfirma, für die er arbeitete, meldete die Schwachstelle des Herzschrittmachers nicht an den Hersteller, sondern "es wurde an eine Investmentfirma verkauft oder lizensiert", sagt Tobias Zillner.

Der Finanzinvestor Muddy Waters Capital kaufte die Schwachstellte und setzte auf fallende Aktienkurse des Herstellers. Bei Veröffentlichung der Ergebnisse am 25. August 2016 stürzte der Kurs tatsächlich ab. Der Finanzinvestor Muddy Waters Capital machte Kasse.

"Es ist mittlerweile so, dass Schwachstellen bewusst gesucht werden, um letztendlich damit an der Börse zu handeln, also um mit Negativ-Meldungen die Börsenwerte zu manipulieren und darauf zu wetten." Marco Di Filippo, Cyber Security Evangelist, White Hat Hacker

Zero Day-Schwachstellen sind ein großes Problem nicht nur für Medizingeräte, sondern für die gesamte Cyber-Landschaft. Auch die Wirtschaft leidet unter Zero Days.

Suche nach Black Hat Hackern

Auf der Cyber Sicherheitskonferenz in München wurde darüber diskutiert, wie Unternehmen Hacker aufspüren können, die mit Hilfe von Zero Day-Schwachstellen Daten stehlen.

"Unternehmen können sich Sensoren ins Netz bauen. Dann sieht man ein bisschen wie bei Google Maps, wo viel Verkehr ist. Und das ist vielleicht nicht ganz normal - dann kann man prüfen, ob Daten nicht vielleicht ungeordnet abfließen. Und so hat man quasi ein Alarmsignal: Da ist irgendetwas nicht in Ordnung." Ralf Wintergerst, Giesecke + Devrient

Fakt ist: Schwachstellen, von denen Hersteller zu spät erfahren, können für alle gefährlich werden. Doch der Handel mit Sicherheitslücken ist in Deutschland erlaubt - ändern kann das nur der Gesetzgeber.