nordbord - Dein MINT-Club

Info2go

Hier gibt ́s Videos über spannende Experimente, Aufnahmen von wissenschaftlichen Phänomenen und Reportagen über nordbord-Projekte sowie interessante Unternehmen. Das Beste: Du kannst auch deine eigenen Filme drehen und hier mit anderen nordbordern teilen.

Sicherheitslücken sind Geld wert

Warum Firmen für gemeldete Sicherheitslücken manchmal hohe Beträge bezahlen.

Sicherheitslücken sind für Anwender ein großes Ärgernis: Im schlimmsten Fall muss man nicht mal einen Link anklicken oder einen Anhang öffnen und das Gerät wird trotzdem infiziert. Kriminelle nutzen das gekaperte Gerät um nach Zugangsdaten zu suchen, mit der Verschlüsselung von Dateien Geld zu erpressen oder Cryptowährungen zu schürfen. Und in seltenen Fällen verschaffen sich auch Geheimdienste über Sicherheitslücken ungefragt Zutritt. Etwas zynisch könnte man also sagen: Nicht jeder hat Interesse an einer Welt ohne Sicherheitslücken.

Und deswegen stehen die Entdecker einer Sicherheitslücke vor einem Dilemma: Verkaufen Sie Ihr Wissen auf dem Schwarzmarkt oder melden Sie die Lücke dem Hersteller? Das ist leider nur aus moralischer Sicht eine einfache Entscheidung. Natürlich ist es für die Allgemeinheit besser, wenn die Sicherheitslücke geschlossen wird. Aber für einige Lücken werden auch wirklich beträchtliche Summen gezahlt. Das Titelbild zeigt die grobe Preisübersicht des Zerodium-Marktplatzes für mobile Endgeräte:

  • Bis zu 2.500.000$ bekommt man für eine Lücke die auf Android-Geräte dauerhaften Zugriff ohne Benutzerinteraktion gewährt. Für iOS bekommt man immerhin bis zu 2.000.000$, für Windows bis zu 1.000.000$.
  • Bis zu 1.500.000$ für einen Weg um Code auf den Geräten von WhatsApp- oder iMessage-Nutzern auszuführen.
  • Für die Windows-Programme 7Zip, WinRar oder Adobe PDF winken bis zu 80.000$, falls man einen Weg findet um Archive oder PDFs zu erzeugen, mit denen Code ausgeführt werden kann.

Und was macht eine Firma wie Zerodium nachdem Sie diese Summen für Sicherheitslücken ausgegeben hat? Nach eigener Aussage verkauft man diese dann ausschließlich an staatliche Akteure, aber welche Staaten das genau sind (und ob das tatsächlich stimmt) lässt sich von außen nicht verifizieren. Große Firmen wie Microsoft, Apple oder Adobe haben daher eigene Programme bei denen man seine Lücken gegen Bezahlung melden kann. Aber normalerweise ist der Weg über die grauen oder sogar schwarzen Kanäle finanziell lukrativer.

Zurück