Strafverfolgung darf die IT-Sicherheit im Internet nicht schwächen
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
FORUM
Norbert Pohlmann, Rene Riedel
Strafverfolgung darf die IT-Sicherheit
im Internet nicht schwächen
Die Quellen-TKÜ bringt mit dem Bundestrojaner große
Risiken für eine dringend notwendige vertrauenswürdige
IT-Sicherheit und nachhaltige Digitalisierung.
Der zunehmende Einsatz von Verschlüsselung im Internet stellt die Strafverfolgungsbehörden
aktuell vor eine neue Herausforderung: Um an die Klartextdaten von potentiellen Straftätern
zu kommen, soll zukünftig staatlich geförderte Schadsoftware, sogenannte Bundestrojaner,
eingesetzt werden. Dieser Artikel thematisiert die daraus resultierenden Probleme und negativen
Auswirkungen aus Sicht der IT-Sicherheit. Der Bundestrojaner ist in der Gesamtbetrachtung nicht
beherrschbar und verursacht wahrscheinlich mehr Cyberkriminalität anstelle von Aufklärung.
1 Einleitung len Verschlüsselungstechnologien zunehmend auch von Krimi-
nellen verwendet werden. Somit ist die klassische Telekommu-
Im Internet werden zunehmend die Daten von Kommunikations- nikationsüberwachung (TKÜ) bereits heute überwiegend nicht
anwendungen verschlüsselt, z.B. bei WhatsApp, Skype, usw. Aus nutzbar, weil die Daten nur in verschlüsselter Form abgegriffen
Sicht der IT-Sicherheit ist dieser Trend äußerst positiv zu bewer- werden können.
ten, denn die Schutzziele: Vertraulichkeit, Integrität und Authen- Da die Strafverfolgung einen wesentlichen Bestandteil des
tizität werden durch die Verwendung von Verschlüsselung nach- Schutzes der Gesellschaft darstellt, müssen die Strafverfolgungs-
haltig gestärkt. Insgesamt folgt daraus ein höheres Schutzniveau behörden bestehende Alternativen zur TKÜ weiter vorantreiben
im Internet. oder neue Ansätze entwickeln. Dazu hat der Deutsche Bundestag
Für die Strafverfolgungsbehörden und die öffentliche Sicher- in einem Schnellverfahren das „Gesetz zur effektiven und praxis-
heit ergibt sich jedoch zeitgleich das Dilemma, dass die aktuel- tauglichen Ausgestaltung des Strafverfahrens“ am Ende der aus-
laufenden Legislaturperiode beschlossen.
Prof. Dr. Norbert Pohlmann Dieses Gesetz gibt den Strafverfolgungsbehörden unterande-
rem die Möglichkeiten, Softwareschwachstellen auf dem End-
ist Professor für Informations- gerät eines Verdächtigen auszunutzen, um mittels aufgespielter
sicherheit und Leiter des Instituts Schadsoftware die Daten bereits vor der Verschlüsselung oder
für Internet-Sicherheit – if(is) an spätestens nach der Entschlüsselung abzugreifen. Dies wird als
der Westfälischen Hochschule in Quellen-TKÜ, z.B. mittels Bundestrojaner, bezeichnet und im
Gelsenkirchen sowie Vorstands- weiteren Verlauf dieses Artikels behandelt.
vorsitzender des Bundesverbands Aus technischer Sicht kann Quellen-TKÜ bei verschlüssel-
IT-Sicherheit – TeleTrusT und im
ter Kommunikation prinzipiell gewährleisten, die Kommunika-
Vorstand des Internetverbandes – eco.
tionsdaten im Klartext abzugreifen, z.B. bei WhatsApp, Skype,
E-Mail: pohlmann@internet-sicherheit.de
usw. Die konkrete Umsetzung ist jedoch nur mit einer grund-
sätzlichen Schwächung der IT-Sicherheit aller Nutzer im Inter-
Rene Riedel net möglich, wie im weiteren Verlauf des Artikels gezeigt wird.
Die eigentliche Maxime unserer Gesellschaft sollte aber das
ist wissenschaftlicher Mitarbeiter am Gegenteil von Schwächung der IT und des Internets sein. Denn
Institut für Internet-Sicherheit – if(is) zurzeit haben wir jährlich einen finanziellen Schaden im Bereich
an der Westfälischen Hochschule der Wirtschaftsspionage von 55 Milliarden Euro nur in Deutsch-
Gelsenkirchen. land /Bitk17/. Außerdem müssen wir bezüglich der immer grö-
ßer werdenden Gefahr durch Cyberwar, unsere Kritischen Inf-
rastrukturen deutlich sicherer und vertrauenswürdiger gestalten,
E-Mail: riedel@internet-sicherheit.de
um unsere Gesellschaft angemessen zu schützen.
DuD • Datenschutz und Datensicherheit 1 | 2018 37FORUM
Das Bundesverfassungsgericht hat in seinem Urteil zum 2.1 „Bug Bounty“-Programme
„Grundrecht auf Gewährleistung der Vertraulichkeit und Integ-
rität informationstechnischer Systeme“ auf den Zielkonflikt zwi- „Bug Bounty“-Programme helfen den Herstellern von Produkten
schen dem staatlichen Interesse an der Infiltration fremder Syste- Schwachstellen zu finden, damit diese behoben werden können.
me zur Gefahrenabwehr (gleiches dürfte für die Strafverfolgung Die zentrale Idee von „Bug Bounty“-Programmen ist es, die Ha-
gelten) und dem staatlichen Auftrag zur Gewährleistung einer cker-Community, Wissenschaftler oder weitere Akteure finanziell
hohen IT-Sicherheit hingewiesen. Die geplante Quellen-TKÜ lässt zu animieren, Schwachstellen in den eigenen Produkten zu finden,
den zweiten Gesichtspunkt völlig außer Acht und blendet inso- damit diese anschließend von den Unternehmen zeitnah behoben
weit die Vorgaben des Bundesverfassungsgerichts /BVerfG08/ werden können. Eine Berkeley-Studie hat ergeben, dass die finan-
zu einer angemessenen Berücksichtigung dieses zentralen Ab- zielle Unterstützung von BBPs bis zu 100-mal kostenwirksamer ist,
wägungskriteriums vollständig aus. In diesem Artikel wird an als eigenständige Bemühungen in einem Unternehmen /Finif13/.
die fehlende Berücksichtigung der IT-Sicherheit bei der geplanten Die Effektivität von BBPs lässt sich außerdem anhand der Kenn-
Umsetzung des „Bundestrojaners“ angeknüpft und analytisch ge- zahlen der Plattform „Bugcrowd“ verdeutlichen. Aus den jährli-
zeigt, dass eine Berücksichtigung aufgrund der Schwächung der chen Reports von 2015-2017 /Bugc15//Bugc16//Bugc17/ geht her-
IT-Sicherheit aller Nutzer dringend notwendig ist. vor, dass sich die Anzahl der teilnehmenden Akteure in diesem
Zeitraum jährlich verdoppelt hat und aktuell mehr als 60.000 Ak-
teure umfasst. Die Anzahl der „Bug Bounty“-Programme hat sich
2 Schwachstellen in Software sind im Jahr 2017 ebenfalls verdoppelt und umfasst aktuell mehr als
eine Gefahr für die Digitalisierung 600 verschiedene Programme. Insgesamt wurden bis 2017 mehr
als 96.000 Hinweise auf Schwachstellen eingereicht. Jedes Jahr wer-
Die Software stellt in allen Branchen einen immer größeren Wert- den durchschnittlich 221 kritische Schwachstellen bei der Platt-
schöpfungsanteil dar. Wir nutzen Software in PCs, Notebooks, form „Bugcrowd“ gemeldet. Diese Zahlen verdeutlichen, dass die
Smartphones, in sehr großen Rechenzentren, aber auch immer Unternehmen immer mehr Geld in BBPs investieren, um die An-
mehr in Autos, in Industrieanlagen, im Haus, für neue Kommu- zahl an Schwachstellen in den eigenen Softwareprodukten erfolg-
nikationsformen von sehr unterschiedlichen IT-Geräten, usw. reich zu reduzieren und damit einen dringend notwendigen höhe-
Problematisch hierbei ist, dass die Sicherheit von Informations- ren Level an IT-Sicherheit zu erreichen.
systemen direkt mit der Sicherheit der installierten Softwarekom- Bug Bounty Programme sind ein sehr effektives Mittel den Le-
ponenten verknüpft ist. Schwachstellen in Software ermöglichen vel an IT-Sicherheit in der IT und im Internet zu erhöhen (vgl.
es prinzipiell Angreifern, die Kontrolle über IT-Systeme zu über- mit /Radi07/).
nehmen und immense Schäden zu verursachen. Ein großes IT-Si-
cherheitsproblem ist, dass in der aktuell genutzten Software zu 2.2 Zero Day Exploits
viele Schwachstellen vorhanden sind. Die Software-Qualität der
Betriebssysteme und Anwendungen muss für die heutige Bedro- Schwachstellen in Software durchlaufen verschiedene Lebens-
hungslage deutlich besser werden. Die Fehlerdichte, die Anzahl zyklen. Die Gefahren und Handlungsempfehlungen zu einer
der Softwarefehler pro 1.000 Zeilen Code, ist heute im Schnitt 0,3. Schwachstelle können in Abhängigkeit von dem aktuellen Zu-
Da gängige Betriebssysteme ca. 10. Mio. Zeilen Code haben, sind stand ermittelt werden. Bei der Verwendung von Schwachstellen
hier im Schnitt 3.000 Software-Fehler zu finden /Pohl14/. Teile zur Quellen-TKÜ muss der gesamte Risikozeitraum berücksich-
dieser Softwarefehler sind Ziele für professionelle und erfolgrei- tig werden. In Abb. 1 (vgl. mit /Bilge12/) sind die verschiedenen
che Angriffe von kriminellen Organisationen und jetzt auch von Lebenszyklen und der Risikozeitraum dargestellt.
Strafverfolgungsbehörden. Der Lebenszyklus beginnt damit, dass eine Schwachstelle in
Für die Steigerung des Schutzniveaus im Internet ist es deshalb einem Softwareprodukt gefunden wurde. Die größte Gefahr geht
wichtig, dass die Anzahl der Schwachstellen in Software minimiert von einer gefundenen Schwachstelle aus, wenn diese dem Herstel-
wird. Hierfür müssen zukünftig zwei Dinge weiter vorangetrie- ler und der Öffentlichkeit unbekannt ist und bereits ein Exploit
ben werden: Zum einen müssen effektivere Werkzeuge, wie z.B. si-
chere Programmiersprachen, unterstützende integrierte Entwick- Abb. 1 | Lebenszyklus einer Schwachstelle und Einfluss der
lungsumgebungen oder Compiler für die Unterstützung im Ent- Quellen-TKÜ darauf
wicklungs- und Integrationsprozess von Software geschaffen wer-
den. Aufgrund der Komplexität von Software muss die Fehlerrate
deutlich minimiert werden. Der zweite unerlässliche Aspekt bei der
Minimierung von Schwachstellen ist das nachträgliche Aufspüren
und Beheben nach dem Release einer Software.
Aktuell stellen immer mehr Unternehmen fest, dass der Auf-
wand für die nachträgliche Suche nach Schwachstellen in den
eigenen Softwareprodukten unproportional hoch zu dem eigent-
lichen Entwicklungsprozess ist und somit nicht effizient von
einem Unternehmen alleine realisiert werden kann. Gleichzeitig
steigt aber das Bewusstsein der Unternehmen für die Notwendig-
keit sicherer Softwareprodukte. Aus diesem Grund werden im-
mer mehr sogenannte „Bug Bounty“-Programme (BBP) von den
Unternehmen gegründet oder finanziell unterstützt.
38 DuD • Datenschutz und Datensicherheit 1 | 2018FORUM
zu der Schwachstelle programmiert wurde, die Angreifer nutzen die Strafverfolgungsbehörden ab. Aus Sicht der IT-Sicherheit han-
können. Ein Exploit ist ebenfalls eine Software, die eine Schwach- delt es sich dabei um eine akzeptable und handhabbare Lösung.
stelle automatisiert ausnutzen kann, um beispielsweise Zugriff
auf ein Informationssystem zu erlangen. In diesem speziellen Fall Abb. 2 | Klassische TKÜ aus Sicht der IT-Sicherheit
wird von „Zero Day Exploits“ (ZDE) gesprochen. Die besondere
Gefahr von ZDEs resultiert direkt aus der Unwissenheit und der
Tatsache, dass eine Schwachstelle potentiell automatisiert ausge-
nutzt werden kann. In dem Zeitraum von te bis t0 existieren dem-
entsprechend keine Schutzvorkehrungen oder Handlungsemp-
fehlungen. In diesem Zeitraum sind „Zero Day Angriffe“ (ZDA)
besonders wirkungsvoll. Da die Strafverfolgungsbehörden eben-
falls ZDEs für die Installation des Bundestrojaners verwenden
müssen (vgl. mit Kapitel 3.2), wird dadurch der Risikozeitraum
deutlich erhöht (vgl. mit Kapitel 4.4). Ein schnelles Eliminieren
der Schwachstelle durch den Hersteller wird damit verhindert. Abb. 3 | Quellen-TKÜ aus Sicht der IT-Sicherheit
Zum Zeitpunkt td wurde der Hersteller einer Software über
eine Schwachstelle in seinen Produkten informiert. Diese Infor-
mation kann ihm unteranderem durch ein „Bug Bounty“-Pro-
gramm mitgeteilt worden sein. Der Hersteller hat nun die Mög-
lichkeit, den entsprechenden Fehler zu beheben und ihn zu ver-
öffentlichen, falls es noch nicht auf anderen Wegen geschehen ist.
Mit der Veröffentlichung einer Schwachstelle wird ein „Com-
mon Vulnerabilities and Exposures“ (CVE) Eintrag erstellt. Die-
ser Eintrag enthält Erklärungen zu der Schwachstelle und Ver-
sionshinweise zu der betroffenen Software. Aus diesen Informa-
tionen können zum Zeitpunkt t0 zum ersten Mal Schutzvorkeh-
rungen und Handlungsempfehlungen abgeleitet werden. Zu die- Anders sieht es jedoch bei der Quellen-TKÜ aus (siehe Abb. 3). Für
sem Zeitpunkt ist die Gefahr der Schwachstelle aber noch nicht die technische Realisierung der Quellen-TKÜ muss zwingend eine
gebannt, denn mit der Veröffentlichung eines CVE können wei- Abhörsoftware (Malware) zum Abhören auf dem Endgerät der ver-
tere Angriffe motiviert werden. dächtigen Person aufgespielt werden. Das Aufspielen der Abhör-
Der Zeitraum von td bis zur Veröffentlichung einer Fehlerbe- software sollte im Sinne der Strafverfolgung überwiegend geheim
hebung in tp hängt von vielen verschiedenen Faktoren, wie z.B. erfolgen, also ohne das Wissen und die Zustimmung der verdäch-
der Größe eines Unternehmens, der Komplexität des Fehlers oder tigen Person. Somit wird durch das Aufspielen der Abhörsoftware
wie schwerwiegend eine Schwachstelle ist, ab. Mit der Veröffentli- im Hintergrund die Integrität des Endgerätes aktiv verändert.
chung eines Patches nimmt die Gefahr einer Schwachstelle dras- Das Aufspielen von zusätzlicher, ungewollter Abhörsoftware
tisch ab. Bis zum Zeitpunkt ta kann die Schwachstelle aber weiter- im Hintergrund wird aus Sicherheitsgründen von allen gängi-
hin von Angreifern ausgenutzt werden, daher sollen die Anwen- gen Betriebssystemen verhindert. Aus diesem Grund muss eine
der den vorhandenen Patch sofort einspielen. Es gibt viele Initia- Schwachstelle in der vorhandenen Software auf dem Endgerät des
tiven, den Zeitraum td bis ta so klein wie nur möglich zu gestalten. Verdächtigen ausgenutzt werden, weil der Verdächtigte diesen
Vorgang ja eigentlich nicht möchte. Im Vergleich zur klassischen
TKÜ kommt also erschwerend hinzu, dass alle anderen Geräte im
3 Unterschiede der TKÜ und Quellen-TKÜ Internet potentiell durch dieselbe Schwachstelle in der verwen-
deten Software gefährdet sind. Auch wenn die technischen Rah-
Die klassische TKÜ beruht auf passiven Abhören der Kommuni- menbedingungen bei der Quellen-TKÜ ebenfalls vom BSI spezi-
kation zwischen zwei Kommunikationsteilnehmern (siehe Abb. fiziert werden, folgt daraus dennoch, dass es sich um eine Lösung
2). Für die technische Umsetzung des Abhörens sind die Tele- mit starken Wechselwirkungen handelt. Diese können von den
kommunikationsanbieter gesetzlich verpflichtet, eine vom Bun- Strafverfolgungsbehörden nicht alleine kontrolliert werden. Der
desamt für Sicherheit in der Informationstechnik (BSI) spezifi- Level der IT-Sicherheit aller unbeteiligten Geräte (Nutzer) wird
zierte Schnittstelle in ihre Systeme zu integrieren. Das im Prinzip dadurch reduziert. Die Wechselwirkungen bezüglich der IT-Si-
passive Abhören der Kommunikation erfolgt direkt in der Kom- cherheit werden in Kapitel 4 genauer erläutert.
munikationsinfrastruktur. Aus diesem Grund wird die Integri-
tät, die IT-Sicherheit, der beteiligten Endgeräte nicht verändert. 3.1 Der Bundestrojaner
Eine Veränderung der Integrität kann theoretisch nur innerhalb
des Kommunikationskanals erfolgen. Die technische Umsetzung der Quellen-TKÜ, insbesondere die
Durch spezifizierte Zugriffskontrollen und weitere Schutzme- Verwendung von Schwachstellen und die Veränderung der Inte-
chanismen kann weitestgehend sichergestellt werden, dass nur die grität des Endgerätes, ist gleichzusetzen mit der gängigen Vorge-
Strafverfolgungsbehörden Zugriff auf die Kommunikation erhal- hensweise von Schadsoftware/Malware im Internet durch krimi-
ten. Die IT-Sicherheit der klassischen TKÜ hängt also von der Si- nelle Organisationen. Aufgrund dieser beiden Eigenschaften wird
cherheit der spezifizierten Schnittstelle und der Verwendung durch die auf dem Endgerät des Verdächtigen installierte Software als
DuD • Datenschutz und Datensicherheit 1 | 2018 39FORUM
„Bundestrojaner“ bezeichnet. Trojaner sind im allgemeinen eine dung von ähnlichen Strukturen für die technische Realisierung
spezielle Form von Malware. der Strafverfolgung mittels Quellen-TKÜ die IT-Sicherheit auf
Aktuell wird Malware, insbesondere Ransomware, von krimi- viele verschiedene Weisen eingeschränkt wird.
nellen Hackern vermehrt verwendet, um finanziellen Profit zu
erzielen. Hierfür wird das IT-System des Opfers zuerst mit der 3.3 Verstecken des Bundestrojaners
Ransomware infiziert. Mit Hilfe der Malware werden anschlie-
ßend die Daten des Opfers auf dem IT-System durch kriminel- Während der Installation und Ausführung des Bundestrojaners
le Organisationen verschlüsselt. Eine Entschlüsselung der Daten müssen neben einer existierenden Schwachstelle, ebenfalls Tech-
ist in den meisten Fällen nur möglich, indem die kriminelle Or- niken verwendet werden, um gängige Schutzmechanismen auf
ganisation den zugehörigen Schlüssel für die Entschlüsselung zur dem Endgerät des Verdächtigen zu umgehen. In erster Linie geht
Verfügung stellt. Damit dies geschieht, müssen die Betroffenen in es hierbei um das Verstecken des Bundestrojaners vor Antivi-
der Regel einen Geldbetrag (z.B. in Form von „Bitcoins“) an die ren (AV) Software. Die Installation von AV Software wird von
Kriminellen überweisen. Bei diesem Szenario wird also Malware IT-Sicherheitsexperten in nahezu jeder Empfehlung für den si-
für die Umsetzung einer Erpressung verwendet. cheren Umgang im Internet genannt, so auch im IT-Grundschutz
Bei der Quellen-TKÜ wird der Bundestrojaner (Malware) ver- des BSI. Es ist also davon auszugehen, dass verdächtige Personen
wendet, um Kommunikationsdaten des Verdächtigen noch vor ebenfalls eine AV Software installiert haben, um sich beispiels-
der Verschlüsselung oder nach der Entschlüsselung abzugreifen weise vor dem Bundestrojaner zu schützen. Neben dem Verste-
und an die Abhörsysteme der Strafverfolgungsbehörde zu versen- cken des Bundestrojaners vor AV Software, müssen auch Funk-
den. Die Steuerung des Bundestrojaners erfolgt über eine „Com- tionalitäten des Betriebssystems auf dem Endgerät manipuliert
mand & Control“ (C&C) Struktur. Diese kann beispielsweise ver- werden. Als Beispiele hierfür kann der Prozessmonitor von Win-
wendet werden, um nachträglich Funktionalitäten hinzuzufügen dows, die Verwendung von Signaturen für den Schutz von Pro-
oder die Entfernung des Bundestrojaners vom Endgerät des Ver- grammkomponenten oder das Rechtemanagement betrachtet
dächtigen zu veranlassen. werden. Der Prozessmonitor zeigt beispielsweise alle aktiven An-
wendungen auf dem System an. Da es sich bei dem Bundestroja-
3.2 Verteilung des Bundestrojaners ner grundsätzlich auch um eine Anwendung handelt, würde diese
im Prozessmonitor aufgeführt werden. Über den Prozessmonitor
Angreifer (kriminelle Organisationen, politisch und wirtschaftlich könnte der Bundestrojaner sogar an der Ausführung gehindert
orientierte Spione, Terroristen, usw.) und Strafverfolgungsbehör- werden. Ohne entsprechende technische Vorkehrungen müssen
den nutzen Software-Schwachstellen und menschliche Unzuläng- die Strafverfolgungsbehörden damit rechnen, dass der Bundes-
lichkeiten aus, um Malware/Bundestrojaner auf IT-Endgeräten zu trojaner von einer AV Software, dem Betriebssystem oder dem
installieren. Über E-Mail-Anhänge oder unsichere Webseiten mit Verdächtigen erkannt und an der Ausführung gehindert wird.
Hilfe von sogenannten „Drive-by Downloads“ wird hauptsächlich Das Verstecken von Malware vor AV Software kann umgangs-
Malware in IT-Endgeräte unbemerkt eingeschleust. sprachlich als „Katz-und-Maus-Spiel“ bezeichnet werden. Für die
Die notwendigen Software-Schwachstellen werden dabei über- technische Realisierung des Versteckens gibt es keine hundert-
wiegend in weit verbreiteten Softwareprodukten ausgenutzt, wie prozentige Lösung, genauso, wie es andersherum keinen hun-
z.B. „Flash“, „Java“, „Internet Explorer“, „Adobe PDF“ oder „Of- dertprozentigen Schutz vor Malware gibt (vgl. mit Kapitel 5). Un-
fice Produkten“. Existieren kritische Schwachstellen in diesen abhängig von der konkreten Umsetzung des Versteckens, unter-
Produkten, dann kann eine Schadsoftware schon während der gräbt bereits die Idee dahinter, einen wesentlichen Schutzmecha-
Benutzung auf dem IT-Endgerät aufgespielt werden. So kann es nismus zur Schaffung von IT-Sicherheit im Internet, nämlich die
beispielsweise sein, dass eine Schadsoftware bereits bei dem Be- Verwendung von effektiver AV Software. Die Säulen der IT-Si-
such einer Webseite installiert wird. cherheit sollten im Zuge der Digitalisierung und den immer grö-
Zum aktuellen Zeitpunkt gibt es keine Erkenntnisse zu der ßer werdenden Gefahren der Computerkriminalität gestärkt wer-
konkreten Umsetzung der Quellen-TKÜ. Aus diesem Grund den. Eine staatliche Förderung von Mechanismen zur Untergra-
muss davon ausgegangen werden, dass neben dem physischen Zu- bung von AV Software stellt das komplette Gegenteil dar.
gang zum Endgerät eines Verdächtigen, ebenfalls gängige und
vergleichbare Strukturen aus dem Bereich der Cyberkriminali-
tät für die Installation des Bundestrojaners verwendet werden 4 Negative Beeinflussung der
(vgl. mit /CCC11/). Viele der aktuellen Infektionen mit Malware IT-Sicherheit aller Bürgerinnen und
beruhen auf der Verwendung von sogenannten „Exploit Kits“.
Diese stellen grundsätzlich einen Baukasten mit allen notwen-
Bürger, sowie aller Unternehmen,
digen Modulen für das automatische Ausnutzen von Schwach- Behörden und weiteren Organisationen
stellen und der Installation von Malware im Hintergrund dar.
Für den effektiven Betrieb des Bundestrojaners im Internet, wird Bei der Beschreibung der Unterschiede zwischen TKÜ und
es zwangsläufig einen vergleichbaren, modularen Baukasten ge- Quellen-TKÜ wurde bereits angedeutet, dass die Verwendung
ben. Dieser wird aufgrund von technischen Limitierungen, z.B. von Schwachstellen für das Aufspielen des Bundestrojaners mit
durch Sicherheitsmechanismen im Internet oder verschiedenen Wechselwirkungen verbunden ist. In diesem Kapitel soll zum
Softwarearchitekturen, vergleichbare Eigenschaften und Proble- einen gezeigt werden, welche Wechselwirkungen konkret entste-
me von „Exploit Kits“ aufweisen. hen können und zum anderen soll anhand von Zahlen und Fak-
Diese Gemeinsamkeiten werden im weiteren Verlauf des Arti- ten verdeutlicht werden, warum die Wechselwirkungen nicht von
kels genauer beschrieben. Es wird gezeigt, dass durch die Verwen- einer Instanz alleine kontrollierbar sind. Anhand dieser beiden
40 DuD • Datenschutz und Datensicherheit 1 | 2018FORUM
Aspekte kann anschließend die negative Beeinflussung der IT-Si- nehmend ihre Werkzeuge für mobile Endgeräte optimieren und
cherheit aller Endgeräte abgeleitet werden. hierfür entsprechende Schwachstellen suchen. Es ist davon aus-
Der Schwerpunkt der Analyse beruht auf der Verwendung von zugehen, dass sich dieser Trend auf die zukünftigen „Exploit Kits“
„Drive by Downloads“ mittels „Exploit Kits“ als relevantesten An- auswirkt und die Anzahl der verwendeten Schwachstellen erhöht.
griffsvektor für die Strafverfolgung (vgl. mit Kapitel 3.2). Aus diesen Überlegungen lässt sich folgern, dass Strafverfol-
Für die Aufbereitung von Zahlen und Fakten wurden öffent- gungsbehörden im Vergleich zu Cyberkriminellen höchstwahr-
lich bekanntgewordene Schwachstellen (z.B. aus der CVE-Daten- scheinlich einen größeren „Pool“ an Schwachstellen benötigen,
bank oder „Contagio“ /Cont15/), aus den Jahren 2012-2015, sowie also mehr als durchschnittlich 12 Schwachstellen pro Jahr. Die-
Security Reports von Sicherheitsfirmen verwendet. se Annahme kann untermauert werden, indem die Anforderun-
gen an die benötigten Kombinationen genauer betrachtet werden.
4.1 Viele Schwachstellen benötigt
4.2 Kombinationen von Schwachstellen
Die Auswertung von prominenten „Exploit Kits“ aus den letz-
ten Jahren hat ergeben, dass eine Schwachstelle alleine nicht aus- In Kapitel 3.2 wurde bereits darauf eingegangen, dass die promi-
reicht, um in der Praxis eine Schadsoftware effektiv auf viele End- nenten „Exploit Kits“ im Internet Schwachstellen in weit verbrei-
geräte zu verteilen. In Abb. 4 ist dargestellt, wie viele verschiede- teter Software, wie z.B. „Flash“, „Java“, „Internet Explorer“, „Ado-
ne Schwachstellen von den prominenten „Exploit Kits“ verwen- be PDF“ oder „Office Produkten“ verwenden. Hierbei handelt es
det werden. sich überwiegend um Softwareprodukte, die interoperable für
verschiedene Betriebssysteme entwickelt wurden. Aufgrund der
Abb. 4 | Anzahl verwendeter Schwachstellen von populären Interoperabilität kann mit einer Schwachstelle eine große Men-
„Exploit Kits“ ge von Anwendern angegriffen werden.
Grundsätzlich wird von IT-Sicherheitsexperten die Ansicht
SweetOrange
vertreten, dass das Schutzniveau im Internet drastisch erhöht
Magnitude
Blackhole
∅
Neutrino
werden kann, wenn die besonders anfälligen Softwareprodukte
Nuclear
Angler
nicht mehr verwendet werden. Diese Tatsache kann für die Quel-
Styx
Rig
len-TKÜ ein Problem darstellen, denn die Verdächtigen könnten
2012-2013 5 6 9 6 - 12 9 11 9 ebenfalls auf besonders anfällige Softwareprodukte verzichten.
2014-2015 14 9 - 15 12 - 10 - 12 In diesem Fall wird die Menge der relevanten Softwareproduk-
te reduziert und somit die Suche nach möglichen Schwachstellen
Im Jahr 2015 wurden durchschnittlich 12 Schwachstellen ver- für eine Strafverfolgung drastisch erschwert. Für die Suche nach
wendet. Es ist anzunehmen, dass diese Zahl in der Praxis noch möglichen Kombinationen müssen die nachfolgenden Aspekte
höher ist, da die Dunkelziffer bei der Analyse von Schadsoftwa- berücksichtigt werden.
re generell hoch ist und der modulare Aufbau von „Exploit Kits“
die Annahme von weiteren Funktionen erschwert. Neben „Windows“ müssen weitere Betriebssysteme, wie „Ma-
Ein wesentlicher Unterschied zwischen der Verwendung von cOS“, „Linux“, „Android“, „iOS“ oder neue Betriebssysteme
„Exploit Kits“ für die Strafverfolgung und der Verteilung von für „SmartWatches“, usw. bei der Suche nach Schwachstellen
Schadsoftware aus anderen Profitgründen ist die Definition des berücksichtigt werden.
„effektiven“ Verteilens. Stehen beispielsweise finanzielle Beweg- Jedes Betriebssystem bringt eine andere Architektur und unter-
gründe im Vordergrund, dann ist eine Massenverbreitung effek- schiedliche Sicherheitsmechanismen mit. Die Wahl des Be-
tiv. Geht es um die Strafverfolgung, dann ist eine zielgerichtete triebssystems kann also bereits zu einem höheren Schutz im
Infektion mit dem Bundestrojaner notwendig. Die grundsätzli- Internet führen und somit die Installation des Bundestroja-
che Problemstellung ist jedoch bei beiden Anwendungsszenarien ners erschweren.
identisch: Es werden Kombinationen von Schwachstellen benö- Für die unterschiedlichen Betriebssysteme existieren unter-
tigt, die eine effektive Verteilung im Kontext des jeweiligen An- schiedliche vorinstallierte Anwendungen zur Durchführung
wendungsszenarios ermöglichen. von Aufgaben im Internet. Diese Unterschiede werden beson-
Für die Strafverfolgungsbehörden ist es schwieriger, dieser ders bei den Web-Browsern und E-Mail-Programmen deutlich.
Problemstellung gerecht zu werden, denn es wird zu einem be- Schwachstellen sind häufig nur in bestimmten Versionen von
stimmten Zeitrahmen zwingend eine mögliche Kombination an Software enthalten. Diese speziellen Versionen müssen dann
Schwachstellen benötigt, damit das Abhören eines bestimmten auf dem Endgerät des Verdächtigen vorhanden sein. Regelmä-
Verdächtigen oder einer bestimmten Gruppe von Verdächtigen ßige Updates können beispielsweise vor älteren Schwachstel-
mit sehr unterschiedlichen Endgeräten begonnen und eine Straf- len schützen.
tat im besten Fall verhindert werden kann. Für einen Angreifer Betriebssysteme für mobile Geräte (insbesondere „Android“)
mit finanziellen Beweggründen ist es wahrscheinlich vernach- weisen im Vergleich zu Betriebssysteme für Desktop-Compu-
lässigbar, wenn zu einem bestimmten Zeitpunkt eine bestimmte ter (hierzu können beispielsweise auch Notebooks gezählt wer-
Personengruppe nicht zu erreichen ist. den) eine hohe Fragmentierung mit großen Unterschieden in
In dem betrachteten Zeitraum von 2012 bis 2015 wurden über- den verwendeten Softwarekomponenten auf. Die Gründe hier-
wiegend Endgeräte aus dem Desktop-Bereich mit „Exploit Kits“ für sind unterschiedliche Anforderungen und Umsetzungen
angegriffen. Ab 2015 konnte ein signifikanter Anstieg der ent- der Gerätehersteller /Han12/. Inkompatibilitäten innerhalb
deckten Schwachstellen auf mobilen Endgeräten festgestellt wer- verschiedener Versionen eines mobilen Betriebssystems führen
den /Sym16/. Der Anstieg verdeutlicht, dass Cyberkriminelle zu- häufig schon bei der normalen Entwicklung einer Software zu
DuD • Datenschutz und Datensicherheit 1 | 2018 41FORUM
Problemen. Die Fragmentierung der mobilen Betriebssysteme Abb. 5 | Simultan verwendete Schwachstellen der
kann dazu führen, dass die Anzahl der benötigten Schwach- populären „Exploit Kits
stellen steigt. Dieses Problem tritt bei Desktop Geräten in der Exploit
SweetOrange
Regel nicht auf, da die Anforderungen an die Hardware direkt Kit
Magnitude
Blackhole
Neutrino
Nuclear
von den Herstellern des Betriebssystems festgelegt werden (vgl.
Angler
CVE
CVSS
Styx
z.B. mit „Windows Hardware Compatibility Program“).
Rig
(2007-2015)
Nicht alle Schwachstellen sind für die Installation des Bun- CVE-2011-3544 x x x x 4 10
destrojaners geeignet. Bei der Verwendung von „Exploit Kits“ CVE-2012-0507 x x x x x x 6 10
werden überwiegend kritische Schwachstellen (mit einem CVE-2012-1723 x x x x x 5 10
CVSS-Score > 9) benötigt (siehe Abb. 5). CVE-2012-4681 x x x x 4 10
Aus den genannten Punkten lässt sich ableiten, dass es sehr vie- CVE-2012-5076 x x x 3 10
le mögliche Kombinationen von Softwareprodukten gibt. Es ist CVE-2013-0074 x x x x 4 9,3
davon auszugehen, dass die Anzahl der möglichen Kombinatio- CVE-2013-0422 x x x x 4 10
nen zukünftig weiter steigt. Beispielsweise ergeben sich durch die CVE-2013-0431 x x x x x 5 5
CVE-2013-0634 x x x 3 9,3
zunehmende Etablierung von „Wearables“ (wie z.B. „SmartWat-
CVE-2013-1493 x x 2 10
ches“) und der Diversifizierung von mobilen Betriebssystemen
CVE-2013-2423 x x x x 4 4,3
neue Kombinationen, die für die Quellen-TKÜ relevant sein kön-
CVE-2013-2460 x x x x x x 6 9,3
nen. Je mehr Kombinationen für die Strafverfolgung berücksich- CVE-2013-2463 x x 2 10
tigt werden müssen, desto ineffektiver ist die zielgerichtete Ver- CVE-2013-2465 x x x 3 10
wendung von „Exploit Kits“. CVE-2013-2471 x x x x 4 10
CVE-2013-2551 x x x x x x 6 9,3
4.3 Simultane Verwendung ist wahrscheinlich CVE-2013-3896 x x 2 4,3
CVE-2014-0322 x x x 3 9,3
Neben der Anzahl an Schwachstellen in den populären „Exploit CVE-2014-0497 x x x 3 10
Kits“ (siehe Kapitel 4.1), kann aus den verwendeten Datenquellen CVE-2014-0515 x x x x 4 10
ermittelt werden, wie wahrscheinlich eine simultane Verwendung CVE-2014-0569 x x 2 10
der Schwachstellen von verschiedenen Instanzen ist. In Abb. 5 ist CVE-2014-8439 x x x 3 10
dargestellt, welche Schwachstellen im Zeitraum von 2012 bis 2015 CVE-2015-0311 x x 2 10
CVE-2015-0336 x x x x 4 9,3
simultan von verschiedenen „Exploit Kits“ verwendet wurden.
CVE-2015-0359 x x x x 4 10
Der Grafik kann entnommen werden, dass es sehr viele Über-
∅ 11 17 10 15 10 9 10 10
schneidungen bei den verwendeten Schwachstellen gibt. Der
3,7 9,2
größte Anteil der dargestellten Schwachstellen hat den maxima-
len CVSS-Score von 10. Es handelt sich dabei also um äußerst
kritische Schwachstellen. Mit Blick auf diese Daten muss davon binationen von Softwareversionen und verschiedenen Betriebssys-
ausgegangen werden, dass relevante Schwachstellen für die Quel- temen berücksichtig werden müssen, um einen lauffähigen Bun-
len-TKÜ ebenfalls von Cyberkriminellen verwendet werden. Eine destrojaner langfristig betreiben zu können (vgl. mit Kapitel 4.2).
derartige Wechselbeziehung stellt eine große Gefahr für die IT-Si- Gehen wir positiv davon aus, dass von den 400 ZITiS-Mitar-
cherheit im Internet dar. Auf der einen Seite wird hierdurch deut- beitern 300 IT-Sicherheitsexperten sein werden, die in der Lage
lich, dass Schwachstellen höchstwahrscheinlich auf dem „Black sind, Schwachstellen zu finden, wie die Sicherheitsexperten bei
Market“ gehandelt werden. Auf der anderen Seite ergibt sich da- „Bug Bounty“-Programmen.
raus eine parallele Gefahr für die Anwender im Internet, wenn Aus den Daten von „Bugcrowd“ lässt sich ableiten, dass mit
durch die Quellen-TKÜ beispielsweise die Zeit für die Veröffent- 300 IT-Experten statistisch gesehen 16 kritische Schwachstellen
lichung von Fehlerbehebungen erhöht wird (vgl. mit Kapitel 2.2). in einem Jahr gefunden werden können (siehe Abb. 6).
4.4 Kauf von Schwachstellen ist erforderlich Abb. 6 | Anzahl kritischer Schwachstellen pro Mitglied (Voll-
zeit) der Plattform „Bugcrowd“
Das Bundesministerium des Innern (BMI) hat eine neue Bun- 2013-2015 2016 2017
desbehörde mit dem Namen „Zentrale Stelle für Informations- Mitglieder 17994 26782 60000
Mitglieder (Vollzeit) 2699 4017 9000
technik im Sicherheitsbereich“ (ZITiS) geschaffen, die helfen soll,
Neue Kritische Meldungen (mit Duplikaten) 175 657 208
verschlüsselte Kommunikation, wie WhatsApp, Skype, usw. im Anteil doppelter Einreichungen 35,8% 36,2% 36,0%
Klartext mitlesen zu können. Neue Kritische Meldungen (ohne Duplikate) 112 419 133
ZITiS ist in München angesiedelt und soll bis 2022 bis zu 400 ∅ 221
Beamte, davon viele IT-Spezialisten, eingestellt haben.
Kritische Meldungen pro Mitglied (Vollzeit) 0,0820 0,0551 0,0246
Die Infrastruktur von „Bug Bounty“-Programmen, insbesonde- 0,0539
∅
re die Kostenwirksamkeit, kann von keinem Unternehmen alleine 300 Mitglieder (Vollzeit) 16,1729
abgebildet werden, selbst wenn es sich um die eigenen Softwarepro-
dukte handelt (vgl. mit Kapitel 2.1). Eine wichtige Frage ist, wie ZI-
TiS die Aufgabe bezüglich der notwenigen Schwachstellen zukünf- In Kapitel 4.1 wurde gezeigt, dass die populären „Exploit Kits“
tig für externe Softwareprodukte bewerkstelligen kann. Erschwe- durchschnittlich 12 Schwachstellen für die Installation von Mal-
rend kommt hinzu, dass im Internet sehr viele verschiedene Kom- ware auf Desktop Endgeräten verwenden. In dem betrachteten
42 DuD • Datenschutz und Datensicherheit 1 | 2018FORUM
Zeitraum von 2012 bis 2015 haben die Betriebssysteme: „Win- zusammen auf dem Markt für Schwachstellen in Software. Die
dows“, „MacOS“ und „Linux“ nahezu den gesamten Marktanteil einen nutzen diesen Markt für das Beheben von Softwarefeh-
im Desktop-Bereich abgedeckt /Stat17/. Die 12 Schwachstellen ha- lern, die anderen für das gezielte Ausnutzen der Schwachstellen
ben sich also über drei verschiedene Betriebssysteme hinweg ge- aus einem bestimmten Profitgrund. Der Wettbewerb hat direkt
streckt. In Kapitel 4.2 wurde auf die große Fragmentierung der zur Folge, dass ein höherer Zielerreichungsgrad eines Akteurs,
Betriebssysteme für mobile Endgeräte und den damit verbunde- zu einem niedrigeren Zielerreichungsgrad des anderen führt. Die
nen Inkompatibilitäten eingegangen. Im Juni 2016 wurden par- finanzielle Belohnung kann in diesem Zusammenhang als eine
allel acht verschiedene Versionen der gängigsten Betriebssyste- ausschlaggebende Komponente für die Definition des Zielerrei-
me für mobile Endgeräte verwendet. Den größten Anteil daran chungsgrades betrachtet werden.
hat das Betriebssystem „Android“ mit fünf verschiedenen Ver- Problematisch ist in diesem Zusammenhang die Tatsache, dass
sionen /Stat16/. Wird die Anzahl der benötigten Schwachstellen die durchschnittlichen finanziellen Belohnungen der „Bug Boun-
im Desktop-Bereich betrachtet, dann werden hochgerechnet 32 ty“-Programme für kritische Schwachstellen mit $1.776 weitaus
Schwachstellen pro Jahr für den mobilen Bereich benötigt. Die geringer ausfallen, als der durchschnittliche Minimalpreis von
höhere Anzahl an benötigten Schwachstellen resultiert aus der $5.000 im „Black Market“. Für die „Bug Bounty“-Programme
höheren Anzahl an verschiedenen Betriebssystemversionen, die kommen erschwerend hinzu, dass in der Regel nur einmalig eine
potentiell eine Inkompatibilität untereinander aufweisen. Insge- Belohnung erzielt werden kann. Auf dem „Black Market“ hin-
samt werden also für die Abdeckung aller Endgeräte 44 Schwach- gegen kann ein ZDE mehrere Male an verschiedene Interessen-
stellen benötigt. Mit 16 selbst gefundenen Schwachstellen würde ten verkauft werden (vgl. mit /Allodi17/).
ZITiS also keine durchgehende Quellen-TKÜ mit dem Bundes- Daraus werden sich langfristig zahlreiche Probleme für die
trojaner auf allen Endgeräten gewährleisten können. IT-Sicherheit ergeben, denn es ist davon auszugehen, dass sich
Die Erkenntnis, dass zu einem bestimmten Zeitpunkt inner- Akteure von den „Bug Bounty“-Programmen zukünftig auf dem
halb eines Jahres weitere unbekannte Schwachstellen für die ef- „Black Market“ positionieren, um einen höheren finanziellen Pro-
fektive Verbreitung von Malware benötigt werden, ist insbesonde- fit zu erzielen (vgl. mit /Radi07/). Diese Problematik wird durch
re im Umfeld des „Black Markets“ nicht neu. Es ist gängige Praxis den Kauf von Schwachstellen für den Betrieb des Bundestroja-
der Malware Entwickler, dass benötigte Schwachstellen eingekauft ners (siehe Kapitel 4.4) verschärft, denn es wird dadurch einseitig
werden. Aus dieser Tatsache resultieren der Erfolg und das Wachs- die Nachfrage an die Akteure des „Grey/Black Markets“ erhöht.
tum des „Black Markets“. Damit die Quellen-TKÜ durchgängig Durch die finanzielle Unterstützung des „Grey Markets“ durch
realisiert werden kann ist davon auszugehen, dass die Strafverfol- ZITiS, würde indirekt auch dem „Black Market“ zu mehr Wachs-
gungsbehörden Exploits auf dem „Grey Market“ kaufen. tum verholfen werden. Der Kauf von 28 Schwachstellen in einem
Der „Grey Market“ ist grundsätzlich eine Abstufung des „Black Jahr hätte demnach zur Folge, dass sich die Anzahl der kritischen
Markets“. In der Praxis wird der „Grey Market“ als eine Instanz Meldungen bei der Plattform „Bugcrowd“ pro Jahr um 13% re-
für die Vermarktung von Exploits für einen „vermeintlich positi- duzieren würde (siehe Kapitel 4.4). Der jetzige Erfolg von „Bug
ven Zweck“, also z.B. für die Strafverfolgung mittels Bundestroja- Bounty“-Programmen würde dadurch sehr deutlich geschwächt,
ner, betrachtet. Die Definition der Funktionsweise des „Grey Mar- weil weniger Schwachstellen gepatcht und dadurch der Level an
kets“ ist nur sehr schwammig möglich, insbesondere wenn es um IT-Sicherheit aller Produkte reduziert werden (vgl. mit Kapitel
die Interessen verschiedener Länder geht. Aufgrund der Aktivität 2.2). Damit würde unvermeidlich das Risiko angegriffen zu wer-
einiger Akteure des „Grey Markets“ ist aktuell davon auszugehen, den steigen und sich folglich der zu erwartende Schaden durch
dass Exploits direkt zwischen dem „Grey Market“ und dem „Black Cyberkriminalität im Internet erhöhen, weil mehr Angriffsflä-
Market“ gehandelt und gleichzeitig an verschiedene Instanzen (z.B. che zur Verfügung steht.
an autoritäre Regime zur Unterdrückung und Überwachung, an
ausländisches Militär im Kontext von Cyberwar oder an ausländi-
sche Behörden zur Spionage) verkauft werden. 5 Weitere Herausforderungen
4.5 Schädliche Einschränkung von „Bug Bounty“- In diesem Abschnitt werden weitere Herausforderungen disku-
Programmen durch den Bundestrojaner tiert, die der Bundestrojaner hervorruft.
Abgesehen von den gesellschaftlichen Folgen durch die Reduzie-
Angriffe auf Basis von „Zero Day Exploits“ (ZDE) haben in der rung des Levels der IT-Sicherheit auf Basis des Bundestrojaners (sie-
Vergangenheit verdeutlicht, welche wirtschaftlichen oder gesell- he Kapitel 4), gibt es zahlreiche technische Hürden auf dem Endge-
schaftlichen Schäden durch unbekannte Schwachstellen in Soft- rät des Betroffenen, die eine Strafverfolgung mittels Quellen-TKÜ
ware verursacht werden können. ZDEs haben ihren Ursprung im erschweren können. Die Herausforderungen basieren im Wesent-
„Black Market“. Für die Erstellung eines ZDEs muss zuerst eine un- lichen auf dem sogenannten „Lying Endpoint Problem“ (LEP). In
bekannte Schwachstelle identifiziert werden. Zu dieser Schwach- Abb. 7 ist die Problemstellung rund um das LEP dargestellt.
stelle wird anschließend ein Exploit programmiert. Dieser Exploit Zusammengefasst besagt das LEP, dass der Zustand eines In-
wird am Ende als Produkt auf dem „Black Market“ vermarktet. Ein formationssystems nicht auf dem Informationssystem selber er-
Exploit gilt solange als ZDE, bis die zugrundeliegende Schwachstel- mittelt werden kann (vgl. mit /Sahi07/). Mit anderen Worten: Die
le dem Hersteller der Software gemeldet wurde und dieser einen angestrebte revisionssichere Protokollierung durch den Bundes-
entsprechenden Patch veröffentlicht hat (siehe Kapitel 2.2). trojaner zum Zwecke der Forensik ist potentiell nicht realisierbar,
Wirtschaftswissenschaftlich betrachtet stehen die „Bug Boun- da Manipulationen auf dem Endgerät des Verdächtigen nicht aus-
ty“-Programme in einem Wettbewerb zu den Akteuren des geschlossen werden können.
„Grey/Black Markets“. Alle betrachteten Akteure bewegen sich
DuD • Datenschutz und Datensicherheit 1 | 2018 43FORUM
Abb. 7 | Lying Endpoint Problem nisse dieses Artikels sollen dazu motivieren, die bestehenden Al-
ternativen zur Quellen-TKÜ mittels Bundestrojaner zu diskutie-
ren und ebenfalls in den Kontext der IT-Sicherheit zu setzen, um
deutlich sicherere Lösungen für die notwenige Strafverfolgung
unserer modernen Gesellschaft nutzen zu können.
Literatur
/Pohl14/ N. Pohlmann: „Die Vertrauenswürdigkeit von Software“, DuD Daten-
schutz und Datensicherheit – Recht und Sicherheit in Informationsver-
arbeitung und Kommunikation, Vieweg Verlag, 10/2014
/Bitk17/ Bitkom: „Spionage, Sabotage, Datendiebstahl: Deutscher Wirtschaft
entsteht jährlich ein Schaden von 55 Milliarden Euro“. Stand: 21.07.2017.
https://www.bitkom.org/Presse/Presseinformation/Spionage-Sabotage-
Datendiebstahl-Deutscher-Wirtschaft-entsteht-jaehrlich-ein-Schaden-
von-55-Milliarden-Euro.html (abgerufen am 20.11.2017)
/Bugc17/ Bugcrowd: „State of Bug Bounty Report – Bugcrowd‘s third annual
analysis of the global bug bounty economy”. Stand: 2017. https://pages.
bugcrowd.com/hubfs/Bugcrowd-2017-State-of-Bug-Bounty-Report.pdf
(abgerufen am 21.09.2017)
/Bugc16/ Bugcrowd: „The State of Bug Bounty – Bugcrowd’s second annual
Aus technischer Sicht kann aus dem LEP eine weitere Gefahr report on the current state of the bug bounty economy“. Stand: Juni 2016.
abgeleitet werden, denn Software auf einem Informationssystem https://pages.bugcrowd.com/hubfs/PDFs/state-of-bug-bounty-2016.pdf
kann im Allgemeinen entwendet und für andere Zwecke weiter- (abgerufen am 21.09.2017)
verwendet werden. So können Hacker beispielsweise den Bundes- /Bugc15/ Bugcrowd: „The State of Bug Bounty“. Stand: Juli 2015.
trojaner als „Backdoor“ für das Einschleusen eigener Schadsoft- /Sym16/ Symantec: „Internet Security Threat Report“. Stand: April 2016.
https://www.symantec.com/content/dam/symantec/docs/reports/istr-
ware verwenden, falls dieser ebenfalls Schwachstellen enthalten
21-2016-en.pdf (abgerufen am 18.09.2017)
sollte. Denkbar ist ebenfalls, dass der Bundestrojaner insgesamt /Sahi07/ Ravi Sahita, Uday R. Savagaonkar, Prashant Dewan, and David
von Hackern entwendet wird und zusammen mit einer nachträg- Durham: „Mitigating the Lying-Endpoint Problem in Virtualized Net-
lich implementierten C&C-Struktur für die Durchführung weite- work Access Frameworks“. In: Proceedings of the Distributed systems:
rer Angriffe im Internet verwendet wird (vgl. mit /CCC11/). operations and management, 18th IFIP/IEEE international conference on
Managing virtualization of networks and services, San José, CA, 2007
/Finif13/ Matthew Finifter, Devdatta Akhawe, and David Wagner: “An empirical
6 Zusammenfassung study of vulnerability rewards programs”. In: Proceedings of the 22nd
USENIX conference on Security, Washington, D.C., 2013
/Cont15/ Contagio: “A collection of the latest malware samples, threats,
Für die Gewährleistung der öffentlichen Sicherheit ist die Straf- observations, and analyses”. Stand: 25.05.2015. http://contagiodump.
verfolgung ein wichtiger und notwendiger Bestandteil. Die zu- blogspot.de (abgerufen am 14.11.2017)
nehmende Verwendung von Verschlüsselung im Internet sorgt /Bilge12/ Leyla Bilge, Tudor Dumitras: “Before we knew it: an empirical study
unweigerlich dafür, dass die Strafverfolgungsbehörden ihre tech- of zero-day attacks in the real world”, In: Proceedings of the 2012 ACM
nischen Werkzeuge für die TKÜ an die neue und zukünftige Si- conference on Computer and communications security, Raleigh, North
tuation anpassen müssen. Carolina, 2012
/BVerfG08/ Urt. v. 27.2.2008 – Az. 1 BvR 370/07, 1 BvR 595/07, Rn. 241.
In diesem Artikel wurde die Verwendung von Schwachstellen
/CCC11/ Chaos Computer Club: „Analyse einer Regierungs-Malware“. Stand:
als Basis für die Umsetzung einer Quellen-TKÜ analysiert. Das 08.10.2011. http://www.ccc.de/system/uploads/76/original/staats-
Ergebnis der Analyse zeigt, dass durch die systematische Verwen- trojaner-report23.pdf (abgerufen am 14.11.2017)
dung von Schwachstellen für die Installation des Bundestrojaners /Radi07/ J. Radianti, J. J. Gonzalez: „Understanding Hidden Information
ein Bieterwettbewerb um Exploits gefördert wird, der bestehende Security Threats: The Vulnerability Black Market”, In: Proceedings of
„Bug Bounty“-Programme schwächt und im Ergebnis die IT-Si- the 40th Annual Hawaii International Conference on System Sciences,
cherheit aller IT-Geräte (Nutzer) reduziert. Mit der Reduzie- Waikoloa, HI, 2007
rung der IT-Sicherheit im Internet wird die angestrebte Erhöhung /Allodi17/ L. Allodi: „Economic Factors of Vulnerability Trade and Exploitation:
Empirical Evidence from a Prominent Russian Cybercrime Market”. In:
der öffentlichen Sicherheit zu einer Gefährdung der Gesellschaft
arXiv:1708.04866, 2017
durch Cyberkriminalität, Wirtschaftsspionage, Cyberwar durch /Stat16/ Statista: “Fragmentierung von mobilen Betriebssystemen”.
Terroristen, usw. Da zum aktuellen Zeitpunkt nicht abschließend Stand: 27.06.2016. https://www.statista.com/chart/5118/mobile-os-
geklärt ist, welcher Mehrwert bei der Aufklärung von Straftaten fragmentation (abgerufen am 20.11.2017)
mittels Quellen-TKÜ tatsächlich erzielt werden kann, wirkt die /Stat17/ StatCounter, “Market share of the leading operating system editions
Reduzierung der IT-Sicherheit umso schwerwiegender, weil der in Germany from January 2009 to March 2017”, Stand: April 2017. https://
gesamtwirtschaftliche Schaden sehr groß sein wird. www.statista.com/statistics/461815/operating-systems-market-share-
germany (abgerufen am 20.11.2017)
Die aktuellen Probleme rund um die klassische TKÜ sind ein
/Han12/ D. Han, C. Zhang, X. Fan, A. Hindle, K. Wong, E. Stroulia: “Understanding
wesentlicher Auslöser für die Diskussion über die Einführung Android Fragmentation with Topic Analysis of Vendor-Specific Bugs”, In:
des Bundestrojaners. Die Quellen-TKÜ ist aber nicht das einzige 19th Working Conference on Reverse Engineering, 2012
Werkzeug für die Umsetzung einer Strafverfolgung. Die Ergeb-
44 DuD • Datenschutz und Datensicherheit 1 | 2018Sie können auch lesen
