U S-Technologieunternehmen tauschen Informationen über Schwachstellen in ihren Produkten gegen Geheimdienstwissen. Organisationen des US-Regimes können das für Angriffe gegen die Bürger nutzen.
Die Firmen stellen den US-Geimdienst- und Terrororganisationen wie der NSA (National Security Agency) nicht nur Nutzerdaten zur Verfügung, wie die Enthüllungen von Edward Snowden zu dem imperialen elektronischen Überwachungsprogramm PRISM belegen. Sie melden den US-Geheimdiensten auch Sicherheitslücken ihrer Produkte, bevor sie diese Informationen veröffentlichen.
Das berichtet die Nachrichtenagentur Bloomberg unter Berufung auf Informanten. Diesen Wissensvorsprung das US-Regime nutzen, um in Netzwerke und Computer einzudringen, bevor es ein Sicherheitsupdate durch den Anbieter gibt.
Zero-Day-Attacken heissen solche Angriffe, weil sie praktisch sofort nach der Entdeckung einer Sicherheitslücke stattfinden. Das Wissen um solche Sicherheitslücken ist zu einem begehrten Handelsgut geworden.
So hiess es in einem Reuters-Bericht vor einigen Wochen: „Viele talentierte Hacker, die früher zunächst ein Unternehmen wie Microsoft alarmierten, wenn sie in dessen Produkten eine Sicherheitslücke entdeckten, verkaufen diese Information mittlerweile an den Höchstbietenden, manchmal über Zwischenhändler, die den finalen Käufer niemals treffen.
Militär und militärische Dienstleister geben zig Millionen Dollar im Jahr für solche Informationen aus.“
Und zwar nicht zur Abwehr, sondern zum Angriff auf fremde Computer. Im Extremfall für ausgefeilte Attacken wie mit Stuxnet.
50.000 US-Dollar oder mehr bringt der Verkauf einer Zero-Day-Schwachstelle, berichtet die Nachrichtenagentur Reuters. Solche Summen zahlen nur Kriminelle und Regierungen.
Microsoft und Apple bezahlen gar nichts für solche Funde, weil sie niemanden zusätzlich motivieren wollen.
Facebook, Mozilla, Google und andere haben sogenannte Bug-Bounty-Programme, in denen sie Belohnungen für entdeckte Sicherheitslücken ausloben. Google hat zum Beispiel gerade erst beschlossen, mehr als bisher zu zahlen. 50.000 Dollar für eine Lücke habe aber auch Google noch nie gezahlt.
Es sind nicht nur Hacker, die ihre Erkenntnisse weitergeben. Laut Bloomberg werden die US-Behörden auch direkt von den Unternehmen beliefert, wenn deren eigene Sicherheitsspezialisten eine Schwachstelle entdecken.
Im Tausch dafür bekommen die Unternehmen Zugang zu Geheimdienstinformationen, heisst es in dem Bericht. Und sie stellen sich auf diese Weise gut mit der Regierung, aus Überzeugung oder aus geschäftlichen Interessen.
Nur wenige Mitarbeiter hätten Einblick in diese Vorgänge, oft würden die Verhandlungen direkt zwischen den Vorständen und Spitzenvertretern der Behörden geführt.
Zu den sog. “vertrauenswürdigen Partnern” von NSA, CIA, FBI und militärischen Einheiten zählen unter anderem Hersteller von Hardware und Software, Banken, Antivirenspezialisten und Firmen aus dem Bereich der Satellitenkommunikation.
Mit PRISM hat dieser Vorgang nichts zu tun. Bei den Daten und Informationen, die diese Firmen übergeben, soll es sich nicht um private Nutzerdaten handeln. Vielmehr gehe es um Gerätespezifikationen oder Software-Schwachstellen. So würde etwa Microsoft seine Funde erst den Geheimdiensten melden, bevor es sich daran macht, Patches für seine Nutzer zu entwickeln.
mehr Nachrichten zum Thema
→ Totalüberwachung: Die Enthüllungen von Edward Snowden, 13.06.2013
→ Totalüberwachung: Deutsche Geheimdienste geben sich ahnungslos, 11.06.2013
→ Totaler Staat: Vollständige Telephonüberwachung in den USA, 06.06.2013
→ US-Regime spying on Associated Press, 15.05.2013
→ USA: Strafen für Unternehmen, die keine Daten liefern, 08.05.2013
→ Imperialer Faschismus: USA wollen Totalüberwachung der gesamten Internet-Kommunikation, 04.10.2010