Schrift:
Ansicht Home:
Netzwelt

Handel mit Sicherheitslücken

Der perfekte iPhone-Hack kostet zwei Millionen Dollar

Die Preise haben sich in den letzten Jahren zum Teil verzehnfacht: Wer bisher unbekannte IT-Schwachstellen verkauft, kann dafür Millionen verlangen. Denn Hacken wird schwieriger - und der Bedarf wächst.

AP

Ein iPhone-Nutzer in Shanghai

Von
Samstag, 10.02.2018   16:48 Uhr

Der perfekte iPhone-Hack sähe wohl so aus: Ein Gerät mit dem aktuellen Betriebssystem iOS 11 wird aus der Ferne komplett übernommen und kontrolliert, ohne dass der Besitzer etwas tun, bestätigen oder erlauben muss - und ohne, dass er etwas bemerkt. Ob dieser Hack überhaupt möglich ist, dürften im Moment nur wenige Menschen auf der Welt wissen. Bekannt ist nur der ungefähre Preis für die nötige Angriffstechnik, er liegt bei deutlich über zwei Millionen US-Dollar.

Auch die Überwindung der Sicherheitsmaßnahmen in Googles Chrome-Browser wäre eine teure Angelegenheit. Eine Million Dollar kann sie kosten. Und um einen Firefox-Nutzer aus der Ferne angreifen zu können, muss man bis zu 200.000 Dollar zahlen.

Das sind die derzeitigen Preise für sogenannte Zero-Day-Exploits: Hacks, die auf bisher unbekannten Sicherheitslücken beruhen. Zero-Day heißen sie, weil die betroffenen Hersteller und Administratoren im Fall eines Angriffs null Tage Zeit haben, Abwehrmaßnahmen zu entwickeln und zu verteilen.

2012 war ein iOS-Exploit noch für 250.000 Dollar zu haben

Bekannt geworden sind die Zahlen durch einen Artikel von "Motherboard". Die Quellen sind anonyme Branchenexperten, kaum jemand will offen darüber reden. Vergleicht man sie mit einem "Forbes"-Bericht aus dem Jahr 2012, wird ein deutlicher Anstieg erkennbar: Vor sechs Jahren war ein Zero-Day-Exploit gegen iOS demnach noch für maximal ein Zehntel des heutigen Preises zu haben. Der Öffentlichkeit unbekannte Sicherheitslücken in Chrome und Firefox waren damals zwischen 60.000 und 150.000 Dollar wert.

Zwar gibt es keine offizielle Preisliste für solche IT-Sicherheitslücken. Denn zum einen sitzen die Entdecker und Verkäufer überall auf der Welt, in kleinen Firmen, die Überwachungstechnik entwickeln, aber auch in großen Rüstungsunternehmen. Zum anderen sind auch die Käufer - häufig handelt es sich um Ermittlungsbehörden und Geheimdienste - über den Globus verteilt und mal mehr, mal weniger zahlungskräftig. Aber realistisch sind die im "Motherboard"-Artikel genannten Preise durchaus, wie ein Szenekenner auf Anfrage von SPIEGEL ONLINE bestätigt.

Die Entwicklung ist schwieriger geworden - und der Bedarf wächst

Zwei Hauptgründe gibt es für die Preisentwicklung. Erstens wächst der Bedarf bei Strafverfolgern, weil die zur Beweissicherung oder zum Abhören verschlüsselt gesendeter Botschaften zunehmend in elektronische Geräte von Verdächtigen einbrechen wollen. Beispielhaft zeigt das die Zweigleisigkeit beim Bundeskriminalamt (BKA), das sowohl selbst einen Staatstrojaner für genau diesen Einsatzzweck entwickelt, als auch ein kommerziell vertriebenes Produkt gekauft hat, das auf der Basis von Zero-Days funktioniert. Genauer: eine Lizenz dafür, die angeblich 147.000 Euro pro Jahr kostet. Auch die US-Bundespolizei FBI geht so vor, nur in größerem Maßstab.

Zweitens ist die Entwicklung von Exploits viel schwieriger geworden, oftmals braucht es dafür ganze Teams und viel Zeit. Denn die Entwickler und Hersteller von Smartphones, Browsern und anderer Software haben ihre Sicherheitsvorkehrungen in den vergangenen Jahren deutlich verschärft - vor allem, um ihre Kunden vor Hackerangriffen von Kriminellen zu schützen. Sie haben Spezialisten zum Teil von Geheimdiensten wie der NSA eingestellt, um potenzielle Schwachstellen frühzeitig zu erkennen, und sie haben sogenannte Bug-Bounty-Programme aufgesetzt. Das sind Aufrufe an Sicherheitsforscher und Firmen, Schwachstellen zu melden und dafür eine Belohnung zu kassieren.

Google zum Beispiel hat am Mittwoch seine Bug-Bounty-Statistik für 2017 veröffentlicht. Das Unternehmen hat demnach allein im vergangenen Jahr knapp drei Millionen Dollar ausgezahlt, darunter 112.500 Dollar an den chinesischen Entwickler eines Exploits gegen das Pixel-Smartphone.

Auch hier, im defensiven Bereich der Bug-Bounty-Programme, entsteht ein Markt. Er ist bereits so lukrativ, warnte jüngst die Sicherheitsexpertin Katie Moussouris in einer Anhörung vor dem US-Senat, dass talentierte Software-Entwickler mit der Schwachstellensuche mehr verdienen als in ihrem eigentlichen Job.

Für staatliche Institutionen wie das BKA, die Bundeswehr oder auch die neu gegründete Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis) sind die hohen Preise problematisch. Sie selbst haben es als Konkurrenten der defensiv oder auch offensiv ausgerichteten Unternehmen schwer, geeignetes Personal zu finden, das für sie so etwas wie neue Staatstrojaner entwickelt.

Was sie nicht selbst machen können, müssen die Institutionen einkaufen, mit dem Geld der Steuerzahler. Um auch dafür eine Zahl zu nennen: Das FBI hat für dieses Jahr 21,6 Millionen Dollar aus dem US-Bundeshaushalt beantragt, um Hacking-Werkzeuge zu entwickeln oder zu kaufen.

insgesamt 22 Beiträge
alangasi 10.02.2018
1. Herr Beuth betreibt hier
das selbe Applebashing wie bei der "Zeit". Verstehe einfach nicht warum man für diese Themen nicht einmal einigermassen neutrale Journalisten verpflichten kann.......
das selbe Applebashing wie bei der "Zeit". Verstehe einfach nicht warum man für diese Themen nicht einmal einigermassen neutrale Journalisten verpflichten kann.......
schlaueralsschlau 10.02.2018
2. @ # 1
Der Autor ist wohl das Gegenstück zu Matthias Kremp oder wie der Applejünger heißt. (Sie wissen wen ich meine)
Der Autor ist wohl das Gegenstück zu Matthias Kremp oder wie der Applejünger heißt. (Sie wissen wen ich meine)
spon_1980133 10.02.2018
3. Pawlowscher Hund?
Sie haben den Beitrag gelesen und - was auch wichtig ist - verstanden? Dann entkräftest sich der Vorwurf des Applebashings ja. Dem im Gegenteil: zwischen den Zeilen ist zu entnehmen, dass der Zugang zu Apple-Geraten wohl [...]
Sie haben den Beitrag gelesen und - was auch wichtig ist - verstanden? Dann entkräftest sich der Vorwurf des Applebashings ja. Dem im Gegenteil: zwischen den Zeilen ist zu entnehmen, dass der Zugang zu Apple-Geraten wohl komplizierter und somit kostspieliger ist als bei vergleichbaren Geräten der Mitbewerber.
UCL 10.02.2018
4. zum Einen : korrekt ist : es wäre "(k)racking", nicht "hacking"
-- was zumindest die (remote) "Übernahme" eines iOS-11 Device betrifft. Denn ohne (k)racking Eingriff (Manipulation/CodeInject, etc) in iOS ist ein iDevice bisher nicht durch reine "Hackerei" zu öffnen. [...]
-- was zumindest die (remote) "Übernahme" eines iOS-11 Device betrifft. Denn ohne (k)racking Eingriff (Manipulation/CodeInject, etc) in iOS ist ein iDevice bisher nicht durch reine "Hackerei" zu öffnen. Als Beispiel/Vergleich/Analogie -- eben nur als Vergleich für bestimmte Aspekte gültig, mag herhalten hier kurz zB ein WebBrowser : erfolgreiches "hacken" wäre, den WebBrowser zB durch bestimmte urls oder Einstellungen in seiner Funktion etwa zu beeinträchtigen oder dazu zu bringen, Dinge zu tun, für die dieser WebBrowser eben nicht gedacht war. klassisches Beispiel : der IE = Internet Explorer von M$oft da reichten u.a. bestimmte Einstellungen und/oder urls aus, das IE Teil völlig unbrauchbar für den User zu machen oder den User auf betrügerische Weise "umzuleiten" ohne dass es so einfach offensichtlich wurde. Niemand brauchte da den QuellCode des IE-Browsers zu beeinflussen und zu manipulieren -- (k)racking) -- sondern M$oft hat das heroisch sauber allein geschafft, sozusagen von Hause aus bereits prima eigene "(k)racks" selbst produziert und in die eigene Software zementiert : es war so wackelig programmiert, dass "hacking" ausreichte für einen totalen BlackOut. Die Software des IE WebBrowser also zu modifizieren, zu (k)racken, war gar nicht erforderlich um bestimme Manipulationen einzuleiten. Bei den iOS Devices allerdings scheint es nicht ohne (k)racking zu gehen. Das ist der entscheidende Aspekt : ohne CodeManipulation im iOS geht gar nichts -- so, zumindest bis heute. Ohne ins iOS einzugreifen und zu "(c)racken" geht nichts. Das etwa war -- so auch der Terminus "JailBreak" -- bei älteren iOS Varianten nicht anders : es bedeutete, eine Schwachstelle zu finden (exploit) im iOS die dann ggfs dazu benutzt werden konnte, das iOS zu manipulieren durch eine tatsächliche Code-Veränderung -- Code (k)racking : Teile des Betriebssystems wurden ersetzt, ausgetauscht bzw umgangen. Mancher mag es noch erinnern : da waren zuweilen x-malige Neustarts erforderlich, bestimmte iOS Funktionen konnten danach dann nicht wie vorgesehen weiter ausgeführt werden, dafür aber andere .. usw usw usw Die Preisgelder für Exploits sind u.a. deswegen auch entschieden höher als vor Jahren noch, weil durch reines 'hacking' eine Schwachstelle zu finden via der ein '(C)rack' das iOS manipuliert, ist eben nahezu aussichtslos -- ohne physische Eingriffe; ohne zusätzliche Hardware bzw initiale iDevice-Hardware-Manipulation geht nix. Und das gilt nunmehr seit einiger Zeit schon. Die iDevices müssen schon mit/via 'irgendwas' physisch verbunden manipuliert werden .. Exakt darin eben unterscheidet sich iOS (bzw auch im Großen und Ganzen) auch OS X / macOS von anderen Platformen. Ist nun mal so. Lässt sich auch nicht anders herbei schwätzen, allein wenn man mal betrachtet, dass sich zB beinahe alle Adobe-Softwares nicht auf case-sensitive formattierten Medien installieren lassen ! (hello my code mess ..) p.s. zur, unter anderem, Terminologie hacking vs kracking ist der 3C bzw (immer noch) der 'Cult-der-toten-Kuh' edukativ erhellend und nüchtern aufklärend hilfreich.
bluemetal 10.02.2018
5. Apple
Das muss man Apple lassen, wer auf seine Sicherheit wert legt kam an einem iPhone oder Mac noch nie vorbei. Die letzten iOS Versionen scheinen eh nicht mehr zu hacken, zumindest gibt es seit Jahren keinen Jailbreak mehr und [...]
Das muss man Apple lassen, wer auf seine Sicherheit wert legt kam an einem iPhone oder Mac noch nie vorbei. Die letzten iOS Versionen scheinen eh nicht mehr zu hacken, zumindest gibt es seit Jahren keinen Jailbreak mehr und soweit bekannt gelang es dem FBI nur mit monatelanger Mühe und viel Geld ein veraltetes Gerät und veraltetes iOS noch zu öffnen. Ich vermute selbst die 2 Millionen sind ein eher hypothetische Summe. Andererseits sollte man nicht gegen Polizei und BKA bashen ("einbrechen" ? ). Es kann auch in einer demokratischen Gesellschaft nicht sein, dass jeder Verbrecher, Waffendealer, Drogenhändler, Islamist und Kinderschänder völlig gefahrlos kommunizieren kann.

Verwandte Artikel

Mehr im Internet

Artikel

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH
TOP