Angesichts der Debatten um „Cyberwaffen“ oder technische Dienstleister von IT-Hilfsmitteln für nationale Bedarfsträger ist eines der wesentlichen Grundvoraussetzungen die Möglichkeit sich zu dem gewünschten Zielsystem Zutritt zu verschaffen um dort die gewünschte Dinge durchzuführen. Ein Weg dazu besteht darin, die Zugangsdaten rechtmäßiger Benutzer durch Tricks zu ergattern um diese dann einzusetzen. Ein anderer Weg besteht in der Verwendung von Schwächen in der IT-Sicherheit der Systeme, entweder weil es sich um veraltete IT handelt mit bekannten (und ausnutzbaren) Problemen oder weil man im Besitz von Informationen über Sicherheitslücken ist, die bislang unbekannt sind – und folglich nicht behoben werden können. Diese sog. Zero-Day-Exploits kann man mit Fachkräften versuchen zu finden, hat dabei aber immer das Problem den Anforderungen der Bedarfsträgern sowie den zeitlichen Planungen oder den Anpassungen der IT bei potentiellen Zielsystemen hinterherzulaufen. Diesen Markt haben Unternehmen wie Vupen oder Hacking-Team, die insbesondere staatliche Einrichtungen zu ihren Kunden zählen und Informationen über Sicherheitslücken in Relation zur Begehrtheit oder der potentiellen Verwundbarkeit von einem oder sehr vielen IT-Systemen verkaufen. Solche Unternehmen suchen einerseits oft selbst mit Technikern nach Lücken andererseits durchstreifen sie ihrerseits die Welt der Hacker nach Sicherheitslücken, die sie aufkaufen können um damit zu handeln.
Ein weiteres Unternehmen dieses Segment ist Zerodium:
ZERODIUM is a cybersecurity company with operations in North America and EMEA. ZERODIUM was founded by cybersecurity veterans with unparalleled experience in advanced vulnerability research and active cyber defense. (..) For more information about our tailored cybersecurity capabilities for governments or our protective solutions for corporations, please contact us. Access to ZERODIUM solutions and capabilities is highly restricted and is only available to a very limited number of eligible customers. ZERODIUM does not have any sales partner or reseller. Our solutions are only available from us through our direct channel.
(Q: zerodium.com / lokale Kopie)
Die aktuellen Ausschreibungen dieses Unternehmens verdeutlichen die finanziellen Wert (und damit den Bedarf und vermutlich auch die Kunden-Nachfrage) nach Sicherheitslücken in populären IT-Systemen. Laut „Preislisten“ (lokale Kopie) auf der Webseite des Unternehmens rangieren die Vergütungen beim Aufkauf von Informationen von 10.000$ bis zu 300.000$ für Desktop-Rechner und deren Betriebssysteme sowie von 15.000$ bis zu 1.500.000$ für die Software und Betriebssysteme auf mobilen Endgeräten. Aktuell gibt es unter anderem auch eine „Ausschreibung“ für die Suche nach einer Sicherheitslücke im Anonymisierungsnetzwerkdienst TOR, für die bis zu 1.000.000$ geboten werden (lokale Kopie). Angesichts solcher Preise für den Aufkauf von Sicherheitslücken kann man über die ausufernden Preise beim Verkauf derselben nur mutmaßen.
Diese „Ausschreibungen“ könnten aber noch einen weiteren zweifelhaften Effekt haben, indem Entwickler von populärer Software angeregt werden könnten bewusst aus monetären Gründen Schwächen in ihre Software einzubauen. Da die von den Bedarfsträgern aufgekaufen Information für deren Zwecke eingesetzt und folglich auch nicht an Hersteller für rasche Sicherheitsanpassungen gemeldet werden trägt diese Entwicklung ganz sicher nicht zu einer allgemeinen Verbesserung der IT-Infrastrukturen aller gesellschaftlicher Bereiche bei – wie unter anderem die verheerenden Folgen von WannaCry und NotPetya gezeigt haben, die beide auf der EternalBlue-Lücke aus dem NSA-Fundus aufbauten.