Mit der Zunahme von nachrichtendienstlichen und militärischen Cyber-Einheiten weltweit, steigt der Bedarf an „Grundmaterial“ für Hacking-Attacken, jenem Wissen über Lücken in populären IT-Komponenten (sowohl Hard- als auch Software) mit den sich Schutzmechanismen umgehen und der unbefügte Zugriff auf fremde IT-Systeme herstellen lassen. Solche „Exploits“ sind dabei schwer zu finden und erfordert durchaus personelle Ressourcen, insbesondere wenn es darum geht ein spezielles System anzugreifen bzw. sich Zugang zu verschaffen. Diese Schwierigkeit haben sich seit einigen Jahren Unternehmen wie Vupen verschrieben, deren Geschäftsmodell im Auf- und Weiterverkauf von Exploits besteht. Insbesondere Vupen wirbt dabei damit, speziell Exploits im Portofolie anzubieten „specifically designed for law enforcement agencies and the intelligence community to help them achieve their offensivecyber missions and network operations (Quelle: vupen.com [Link offline], lokale Kopie).
Das diese Behauptung nicht völlig aus der Luft gegriffen ist belegen nun Leaks aus dem Fundus des mit einem vergleichbaren Geschäftsmodell agierenden Unternehmens Hacking-Team, das 2015 jedoch selbst „digital ausgeraubt“ worden ist:
According to the hacked files, Hacking Team’s top sales in recent years have come from governments and law enforcement agencies in these countries, in descending order of sales: Mexico, Italy, Morocco, Saudi Arabia, Chile, Hungary, Malaysia, UAE, the United States, Singapore, Kazakhstan, Sudan, Uzbekistan, Panama, Ethiopia, Egypt, Luxembourg, Czech Republic, South Korea, Mongolia, Vietnam, Spain, Ecuador, Oman, Switzerland, Thailand, Russia, Nigeria, Turkey, Cyprus, Honduras, Azerbaijan, Colombia, Poland and Bahrain.
(Q: The Intercept / lokale Kopie)
Am Beispiel jüngester Veröffentlichungen lässt sich solch ein Einkauf von Exploits exemplarisch darstellen. Autoren des Magazins Motherboard haben Einblick in Rechnungen erhalten, die das Unternehmen der US-amerkanischen Drug Enforcement Administration (DEA) 2012 über 570.000 $ gestellt hat. Darin aufgeführt findet sich ein Bestandteil namens Zugang zum „Exploit Portal Full Access (Zero-Day level)“ mit mindestens drei Zero Day Exploits (Q: documentcloud.org / lokale Kopie) – neben dem Training für den Einsatz von derlei Mitteln. Möglicherweise gibt es im Sinne der Strafverfolgung immer wieder Situationen die ein solches Vorgehen rechtfertigen könnten. In jedem Fall trägt der erhöhte Bedarf an solchen Informationen durch den weiterhin weltweit starken Ausbau von Cyber-Einheiten bei diversen Diensten und Militärs nicht zur allgemeinen Verbesserung der IT-Sicherheit bei. Dazu zählen auch die aktuellen Planungen der Bundeswehr, der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITis) oder die Debatten über Hack-Back-Befugnisse. Eine ausführlichere Diskussionen über diese Abwägung und den Umgang mit Sicherheitslücken findet sich bei der Electronic Frontier Foundation.