Ransomware
Kampf den Schwachstellen?
73 Zero Day-Schwachstellen wurden Ende Oktober von Sicherheitsforschern im Rahmen des Pwn2Own Hacking-Wettbewerbs identifiziert und geschlossen. Eine gute Nachricht möchte man meinen. Doch nicht alle wollen, dass Lücken geschlossen werden.
Save to Folio
2007 ärgerte sich ein gewisser Dragos Ruiu, Organisator der kanadischen Sicherheitskonferenz CanSecWest über den Hersteller Apple. Dieser hatte sich in Kampagnen über Konkurrent Microsoft lustig gemacht mit dem Ziel, seinen Kunden das eigene „sichere“ Produkt zu verkaufen. Er kündigte drei Wochen vor der Veranstaltung an, zwei MacBooks Pros aufzustellen und sie demjenigen zu schenken, der sie wireless hacken könne. Eine Vereinbarung mit der heute zu Trend Micro gehörenden Zero Day Initiative wurde ebenfalls geschlossen.
Die ZDI war damals bereits dafür bekannt, Softwarelücken zu kaufen und dann im so genannten „Responsible Disclosure“-Verfahren zu schließen. Damit wurden die Grundlagen für den Pwn2Own Hacking-Wettbewerb gelegt. Das Vorgehen beschreibt nach wie vor den Weg, den viele so genannte „ethical Hacker“ gehen, um Software-Sicherheitslücken aufzudecken. Die ZDI mit dem Pwn2Own war lediglich der erste und bis heute größte Wettbewerb seiner Art. Aber daneben gibt es selbstverständlich auch andere Organisationen und Vorgehensweisen.
Das Melden von Lücken
Ethische Hacker, die gezielt nach Sicherheitslücken in Softwareprodukten suchen und diese dann an die betroffenen Hersteller melden, sind nicht überall gleich gern gesehen. Manche Hersteller möchten nichts von solchen Lücken wissen, denn „Was ich nicht weiß, macht mich nicht heiß!“, und die Politik unterstützt das teilweise. In Deutschland erschwert es beispielsweise der umstrittene „Hackerparagraph“ (§ 202a STGB) Herstellern und Organisationen auf möglicherweise gefährliche Fehler hinzuweisen. Der Paragraph stellt das unbefugte Eindringen in gesicherte Daten unter Strafe, ebenso wie die Beschaffung von Tools und Passwörtern zur Vorbereitung solcher Taten.
Aber auch andere Länder rücken das Thema in den Fokus der Justiz. Russland und China verbieten ihren - eigentlich ethischen - Hackern inzwischen die Teilnahme an Events wie Pwn2Own. Unter Strafe steht dort allerdings das Mitteilen der Sicherheitslücken an die betroffenen Hersteller. Die Forscher müssen die Kenntnisse erst und exklusiv mit dem Staat teilen. Selbstverständlich wird die Politik dann alle notwendigen Schritte durchführen, um die Lücken zu schließen – beispielsweise durch Demonstration ihrer Gefährlichkeit. Beide Länder unterstützen die Schwachstellenforschung auch, indem ihr geistiger Nachwuchs entsprechend geschult wird, solche Lücken zu finden.
Einsatz von Softwarelücken bei der „Verbrechensbekämpfung“
In anderen Ländern mit sehr erfolgreichen Softwareexperten sind Hacker dazu übergegangen, die Lücken teurer an Zwischenhändler zu verkaufen. Die „freie Marktwirtschaft“ hat den Vorteil, dass über den Wiederverkauf höhere Gewinne erzielt werden können. Das geschieht beispielsweise, indem man die Lücken als Teil eines Softwarepakets an durch Steuern finanzierte Staatsorgane veräußert. Je nachdem, ob exklusiv oder nicht, lassen sich die Gewinne vervielfachen. Der Einsatz in der Verbrechens- und Terrorismusbekämpfung ist dabei ein gutes und häufig betontes Ziel.
Nur schade, dass es weltweit wohl keine Einigung darüber gibt, was ein Verbrecher bzw. Terrorist ist. Probleme mit diesen Transfers gibt es dann, wenn herauskommt, dass die Lücke doch an ein „falsches Land“ verkauft wurde, z.B. an solche, in denen es kein Menschenrecht ist, seine Meinung frei zu äußern oder die Regierung zu kritisieren.
Problem bei der Verbrechensbekämpfung
Abgesehen vom gerade beschriebenen politischen Dilemma gibt es auch noch ein ganz natürliches. Eine Lücke kann nur offen oder geschlossen sein, einen Zwischenstatus gibt es nicht. In einem Rechtsstaat ist ein Verbrecher jemand, dem man eine kriminelle Tat nachweisen kann. Um diesen Nachweis zu erbringen, möchte man Sicherheitslücken verwenden. Per Definition heißt das, dass diese Lücken das Spionieren bei allen erlaubt, und zwar weltweit.
Ist ein Staat im Besitz einer solchen Schwachstelle und hält sie für die Verbrechensbekämpfung geheim, so heißt das dementsprechend auch, dass seine Bürger und Unternehmen über diese Lücken angreifbar sind -- und zwar mit vollem Wissen der eigenen Regierung. Es lässt sich also argumentieren, dass Steuern dazu verwendet werden, das Land unsicher zu machen.
Wie sehr das auch mal „in die Hose gehen“ kann, hat beispielsweise die später mit „Wannacry“ bekannt gewordene Lücke EternalBlue bewiesen. Diese wurde nach verschiedenen Medienberichten der NSA aus dem virtuellen Giftschrank entwendet. Die Lücke sorgte weltweit für Probleme, auch wenn sie bereits verhältnismäßig „alt“ war und eigentlich nur noch relativ wenige Systeme von ihr beeinträchtigt werden konnten.
Interessenskonflikt um NIS 2
Am 05. November 2025 gelang der Bundesregierung ein wichtiger Meilenstein bei der Umsetzung der EU- Direktive NIS 2. Das erklärte Ziel dieser Richtlinie ist die Stärkung der Cybersicherheit in der gesamten Europäischen Union. Deutschland ist mit der Umsetzung spät dran, möchte diese aber noch bis Ende des Jahres durchbringen. Ausgeklammert vom schwierigen Kompromiss ist aber nach Informationen des Tagesspiegels, die Frage der Schwachstellen. Genauer gesagt, ob diese im Rahmen der Cyberverteidigung geschlossen werden, sollen oder ob man sie zur Verbrechensbekämpfung nutzen möchte.
Dieser Konflikt beherbergt gerade in Deutschland eine besondere Herausforderung, da die beiden jeweils gegensätzlichen Interessen, vertreten durch das BSI auf der einen und die Exekutive auf der anderen Seite, im Bundesministerium des Inneren (BMI) vereint sind. Ein Interessenskonflikt scheint vorprogrammiert zu sein. An der Lösung nicht nur dieser Frage ist die Umsetzung bisher gescheitert.
Aber es ist auch kein rein deutsches Problem. Andere Länder stehen hier vor der gleichen Herausforderung, und auch wenn wir es uns in der Cybersicherheit sehr leicht machen (müssen), so ist die Überwachung verbrecherischer, möglicherweise gefährdender Kommunikation ein durchaus nachvollziehbarer Grund, den man nicht einfach auf die Seite schieben darf.
Cybersicherheit ist kompromisslos
Als Cybersicherheitsanbieter haben wir in dieser Frage allerdings keine Wahl. Unsere Aufgabe ist es, unsere Kunden zu schützen. Wir können nicht prüfen, ob ein Angriff juristisch gerechtfertigt ist. Und die Frage, ob es eine juristische Autorität gibt, die uns das mitteilen könnte, ist Teil der „Souveränitätsdebatte“. Im Zusammenhang mit Schwachstellen gilt es darüber hinaus auch zu bedenken, dass selbst ethisch legitime Angriffe auf gerechtfertigte Ziele für alle ein Problem darstellen.
Denn, sobald ein Cyberangriff erfolgreich ist, wird dieser zu einer Untersuchung durch Fachleute führen. Sind es staatliche Organisationen, so besteht eine hohe Wahrscheinlichkeit, dass diese die Schwachstelle ihrerseits offensiv einsetzen. Bei Wannacry fand man übrigens später heraus, dass EternalBlue bereits ein Jahr vor dem berichteten Diebstahl von chinesischen Angreifern verwendet wurde. Werden wir in der Cybersicherheit deshalb einer solchen Lücke gewahr, dann müssen wir sie schließen.
Aus unserer Sicht ist die offensive Nutzung, auch wenn sie dem wichtigen Ziel der Verbrechensbekämpfung dient, ein zu hohes Risiko für die Allgemeinheit. Kauft eine Regierung Lücken, wie oben beschrieben, als Teil eines Softwarepakets ein, so muss sie zudem davon ausgehen, dass auch andere Regierungen das tun und somit potenziell Zugang zur eigenen Industrie und den Bürgern hat. Auch wenn die Zusammenarbeit auf polizeilicher Ebene wichtig und vertrauensvoll ist, so müssen wir an dieser Stelle auch darauf hinweisen, dass so ein bisschen „spionieren auch unter guten Freunden“ mal vorkommt.
Trend Micro und der Pwn2own
Das politische oder auch diplomatische Problem rund um Sicherheitslücken können wir als Hersteller nicht lösen. Unsere Aufgabe bleibt die Verteidigung, und wir versuchen alles, um die Lücken zu schließen.
Was mit einer etwas komischen Wette begann, ist heute eine drei Mal im Jahr stattfindende Veranstaltung, bei der jeweils etwa eine Million Dollar an Preisgeld ausbezahlt wird. Kunden von Trend Micro profitieren insofern davon, dass viele der gefundenen Lücken schon deutlich vor einem Patch durch die Technologie „vituelles Patchen“ im Produkt Tipping Point geschlossen werden. Die Zeitdifferenz ist dabei ausschließlich von der Fähigkeit des betroffenen Herstellers abhängig, einen entsprechenden Patch zu liefern. Im Falle der Im Juli durch die Medien bekannt gewordenen Sharepoint-Lücken waren das 61 Tage. Nichtsdestotrotz bleibt es das Anliegen der Trend Micro Zero Day Initiative, diese Schwachstellen grundsätzlich unschädlich zu machen. Auch wenn sie zuvor mit Steuergeldern bezahlt in einem Angriffswerkzeug verwendet wurden.