Couragiert erklärt: Zero-Days

Zero-Days sind unerkannte Sicherheitslücken in Programmen. Wir erklären woher der Begriff "Zero-Day" kommt, welche Gefahren für Nutzer.innen dahinter stecken und warum Geheimdienste solche Sicherheitslücken ausnutzen. Unsere Forderung: Behörden müssen dazu verpflichtet werden, Zero-Days zu melden. Nur so können Bürger.innen besser geschützt werden.
digitalcourage
Kathrin Elmenhorst
Veröffentlicht am 02.11.2021 (Letztes Update: 02.11.2021)

Null Tage Zeit: Wenn Angreifer.innen eine Schwachstelle in einem Programm finden, bevor der Software-Hersteller den Fehler selbst bemerkt, haben die Programmierer.innen keinen Tag Vorsprung, um die Schwachstelle zu beheben. Deshalb nennt man solche Sicherheitslücken in Programmen Zero-Days.

Markus Hamid für Digitalcourage, CC-BY 4.0

Computerprogramme bestehen aus tausenden Zeilen Code. Klar, dass den Entwickler.innen da auch Fehler passieren. Solche Softwarefehler können dazu führen, dass die Sicherheit und Privatsphäre von Nutzer.innen gefährdet ist. Wenn Kriminelle oder Behörden wie Geheimdienste bisher unbekannte Sicherheitslücken finden, können sie sich Zugriff auf vertrauliche Daten, z. B. Passwörter, private Kommunikation oder Gesundheitsdaten, verschaffen. Solange der Hersteller der Software nicht auf das Problem aufmerksam wird und die Lücke schließt, besteht so eine Zero-Day-Schwachstelle weiter.

2020 wurde eine Zero-Day-Schwachstelle in der Videokonferenz-Software Zoom (hier geht es zu freien Videokonferenzsystemen) bekannt. Diese machte es möglich, Windows-Systeme von Nutzer.innen über die Zoom-Desktop-Anwendung anzugreifen und dort beliebige Schadsoftware auszuführen. Das Problem wurde von einer anonymen Person aus der Sicherheitsforschung entdeckt, die den Hersteller informierte. In diesem Fall wurde kein krimineller Missbrauch der Schwachstelle bekannt, bevor die Entwickler.innen eine Korrektur (patch) des Fehlers bereitstellten.

Anders im Fall von Stuxnet: Diese Schadsoftware wurde zwischen 2007 und 2010 auf Steuerungssysteme von Industrieanlagen geschleust, indem unveröffentlichte Windows-Sicherheitslücken ausgenutzt wurden.

Während der sogenannte "Hackerparagraf" (§202 a-c StGB) in Deutschland das "Ausspähen" und "Abfangen" von vertraulichen Daten verbietet und sogar zur Kriminalisierung von Sicherheitsforscher.innen führt, nutzen Polizei und Sicherheitsbehörden Zero-Days zu Ermittlungszwecken. Das bedeutet, dass staatliche Überwachungssoftware (Staatstrojaner) durch Zero-Day-Lücken auf die Geräte von verdächtigen Bürger.innen eingeschleust wird.

Um diese Ermittlungswege weiterhin nutzen zu können, melden Behörden wie der BND ihnen bekannte Sicherheitslücken oftmals nicht den Herstellern oder der Öffentlichkeit. Und dabei bleibt es nicht: Mit Steuergeldern wird Wissen über Zero-Days und Staatstrojaner-Software eingekauft.

Diese Praxis führt dazu, dass alle Bürger.innen und Unternehmen, die diese Software verwenden, Sicherheitsrisiken ausgesetzt sind, was die Behörden durchaus wissen. Außerdem werden die Preise auf dem "Schwachstellen-Schwarzmarkt" hochgetrieben, anstatt eine Kulter der Responsible Disclosure zu etablieren, bei der Sicherheitsforscher.innen gefundene Zero-Days an die Hersteller melden und erst veröffentlichen, nachdem die Lücke geschlossen wurde.

Wir fordern: Behörden müssen dazu verpflichtet werden, ihnen bekannte Schwachstellen zu melden. Anstatt Sicherheitsforscher.innen zu kriminalisieren, müssen sichere Responsible-Disclosure-Verfahren unterstützt werden. Nur so können Bürger.innen vor Angriffen geschützt werden.

Unsere Arbeit lebt von Ihrer Unterstützung

Wir freuen uns über Spenden und neue Mitglieder.

Bücher, Gadgets, Infomaterial, Hoodies, …
Im Digitalcourage-Shop gibt es (fast) alles, was das Aktivist.innenherz begehrt.
Hier geht es zum Shop! 

Screenshot aus dem Erklärvideo zum Staatstrojaner.

Erklärvideo: Warum sind Staatstrojaner gefährlich?

In vier Minuten erklärt dieses Video das Kernproblem von Staatstrojanern: Für die Staatstrojaner muss es in allen Smartphones und PCs Hintertüren geben, durch die staatliche Hacker und Kriminelle nach Lust und Laune in unsere Geräte einsteigen können.
Veröffentlicht am: 02.11.2021
Print Date: 26.04.2024
Author(s):
digitalcourage
Kathrin Elmenhorst
Article-Link:
https://digitalcourage.de/2021/zero-days