Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Im Darknet floriert der Handel mit gefährlichen Sicherheitslücken für Handys und PCs. 7 krasse Zahlen und Fakten

Software-Schwachstellen, die sich für Computer-Einbrüche eignen, sind begehrt bei Kriminellen und Geheimdiensten. Der Schweizer IT-Sicherheitsexperte Marc Ruef gibt Einblick ins millionenschwere Exploits-Business.



Im Darknet wird nicht nur mit Kinderpornos und Drogen gedealt. Sehr begehrt sind auch Informationen zu Sicherheitslücken, die sich für Einbrüche in Computersysteme verwenden lassen. Sogenannte Exploits.

Am begehrtesten (und teuersten) sind Zero Day Exploits («0-Days»). Das sind Schwachstellen in Betriebssystemen und anderer Software, die besonders wertvoll sind, weil sie niemand kennt und es darum noch keinen Schutz gibt.

Mit solchen Schwachstellen lässt sich viel Schaden anrichten:

Schmutzige Tricks

Verborgen auf einem unbekannten Server, nur erreichbar über die Anonymisierungs-Software Tor, liegt The Real Deal. Über den Schwarzmarkt wurden vor allem Angriffswerkzeuge für kriminelle Hacker verkauft, wie die «Zeit» 2015 berichtete.
Die Website mit der «.onion»-Adresse galt als gute Anlaufstelle für Verkäufer und Käufer von Exploits. Doch nach wenigen Monaten Präsenz verschwand die Site spurlos, um einige Monate später wieder aufzutauchen. Über die Gründe könne nur spekuliert werden, sagt der Darknet-Kenner Marc Ruef. «Fachpresse und Vertreter der Industrie werfen den Machern vor, einen sogenannten ‹Exit Scam› vollzogen und mit dem Geld noch nicht vollzogener Transaktionen geflohen zu sein.»

Laut Marc Ruef floriert der Exploits-Handel im Darknet. Der ehemalige Hacker und IT-Sicherheitsexperte spricht von einem explosionsartigen Wachstum, was die Zahl der verfügbaren Exploits wie auch die verlangten Preise betreffe. Das theoretische Marktvolumen sei 2015 auf schätzungsweise 155 Millionen Dollar gewachsen.

Bild

Von der Idee bis zum ausführbaren Tool ist es ein weiter Weg. Dafür winken je nach Angriffsziel grosse Summen.
grafik: scip ag

Zu den zahlungskräftigsten Abnehmern der digitalen «Waffen» gehören die Geheimdienste. Allen voran die US-Amerikaner sowie despotische Staaten im Nahen und Fernen Osten.

Aber auch die Europäer beteiligen sich rege am Exploits-Business. Letzten November machte das Nachrichtenmagazin «Spiegel» publik, dass der deutsche Bundesnachrichtendienst (BND) bis 2020 für 4,5 Millionen Euro Zero Day Exploits kaufen wolle.

Diktatoren und Saubermänner

Rund um die Exploits hat sich ein starker Industrie-Zweig entwickelt. Private Sicherheitsfirmen entwickeln Software-Tools, die sie für viel Geld an Abnehmer rund um den Globus verkaufen können.

Der renommierte US-Autor James Bamford hat gerade unter dem Titel The Espionage Economy im «Foreign Policy»-Blog einen lesenswerten Beitrag über den kommerziellen Markt für Spionage-Software publiziert. Darin geht es um schmutzige Geschäfte mit Diktatoren und Saubermännern.

Solche Werkzeuge ermöglichten es Regierungen erst, die eigenen Bürger und diejenigen anderer Staaten zu überwachen. Bamford komme daher zum naheliegenden Schluss, dass der Markt strikter kontrolliert und reguliert werden sollte, fasst netzpolitik.org zusammen.

So laufen die Deals ab

Wie Marc Ruef in einem Beitrag zu seinen Darknet-Recherchen schildert, laufen Exploit-Deals in der Regel gestaffelt ab:

Ruef hat mit Kollegen vom IT-Beratungsunternehmen Scip AG ein Modell entwickelt, um die Preisentwicklung von Exploits zu berechnen. Dazu werden verschiedenste Faktoren berücksichtigt.

«Wir gehen von einem 0-day Exploit aus, dessen Schwachstelle und Existenz nicht bekannt ist. Er wird exklusiv und einmalig verkauft, bis die Schwachstelle publik oder ein alternativer Exploit herausgegeben wird. Sobald diese Exklusivität verloren geht, wird ein tagesaktueller Preis erzeugt. Dieser ist von Ereignissen (Bekanntwerden der Schwachstelle, alternativer Exploit verfügbar, Gegenmassnahme veröffentlicht) und der zeitlichen Entwicklung abhängig.»

Marc Ruef über das Modell zur Exploits-Preisentwicklung.
quelle: scip ag

Das Modell sei in den letzten Jahren weiter verfeinert worden und erlaube es mittlerweile, die Preise relativ genau vorauszusagen. Für watson hat Ruef spannende Entwicklungen zu den Smartphones und PC-Systemen in den folgenden Grafiken zusammengefasst.

So viel sind die gefährlichsten Schwachstellen (Zero Day Exploits) wert

Bild

RCE-Exploits erlauben das (heimliche) Ausführen von bösartigen Programmen auf fremden Computersystemen.
bild: scip ag

«Acrobat»-Exploits sind am günstigsten, iPhone-Exploits gehen richtig ins Geld

Bild

Zero-Day Exploits: Die Preisspanne ist riesig. Mit Abstand am teuersten/wertvollsten sind iPhone-Lücken.
grafik: scip ag

Laut Ruef sind Exploits am wertvollsten, wenn sie dem Angreifer erlauben, unbemerkt fremden Code über eine Netzwerkverbindung auszuführen, wenn also kein physischer Zugang nötig ist.

«Wir gehen davon aus, dass hier Android massiv aufholen wird in den kommenden fünf Jahren.»

Marc Ruef, IT-Sicherheitsexperte

2016 dürften erstmals 1,5 Millionen Dollar für einen iPhone-Exploit bezahlt werden

Bild

iPhone-Exploits: Die Kurve zur Preisentwicklung steigt an, dieses Jahr dürften erstmals 1,5 Millionen Dollar für einen Exploit bezahlt werden, der Angreifern Zugriff auf fremde Geräte ermöglicht.
grafik: scip ag

Auf dem Graumarkt gibt's nur wenige hochklassige Exploits, hingegen sehr viel «Schrott»

Bild

Im Top-Segment gibt es nur wenige Exploits, die den Entwicklern über 100'000 Dollar einbringen.
infografik: scip ag

Android ist stärker verbreitet, doch iPhone-Exploits sind viel wertvoller

Bild

iOS (iPhone) dominiert seit nunmehr drei Jahren das oberste Preissegment, die Preise sind massiv gestiegen. Für das weitverbreitete Google-System Android sind sie hingegen nur langsam angestiegen. «Wir gehen davon aus, dass hier Android massiv aufholen wird in den kommenden fünf Jahren», sagt Ruef.
grafik: scip ag

Der Markt für Windows-Exploits hat sich seit Windows XP massiv verändert

Bild

Die Preise für die verschiedenen Windows-Versionen sind ab 2013 massiv gestiegen, bewegen sich aber – im Vergleich mit iPhone-Exploits – auf relativ tiefem Niveau.
grafik: scip ag

«Extrem schlechte Idee»

Abschliessend gilt festzuhalten, dass Software-Schwachstellen im Prinzip alle Nutzer von Smartphones und Computern bedrohen. Den Markt für Exploits zu unterstützen, sei aus staatlicher Sicht eine extrem schlechte Idee, meint Michael Waidner, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie. Jede Lücke sei für die Bürger, Behörden und Unternehmen ein grosses Risiko, da niemand wisse, wer alles das Know-how um die Schwachstellen kaufe.

So richtig ins öffentliche Bewusstsein gelangte das fragwürdige Millionen-Geschäft letztes Jahr durch den erfolgreichen Hackerangriff auf die italienische Sicherheitsfirma The Hacking Team

Hacker-News auf watson

«Ihr habt nicht begriffen, wie das Internet funktioniert!» – ein Student zeigt, wie leicht wir im Netz überwacht werden

Link zum Artikel

«Ich bin schon in mehrere Atomkraftwerke eingebrochen»

Link zum Artikel

Das sind die 10 gefährlichsten Programme, die du auf deinem Windows-PC oder Mac haben kannst

Link zum Artikel

«Wenn ich eine andere Identität vortäusche, kann ich in das Leben einer Person eindringen»

Link zum Artikel

Was passiert, wenn Autos gehackt werden? Hacker zielen auf neuartige Sicherheitslücken

Link zum Artikel
Alle Artikel anzeigen

Hacker-News auf watson

«Ihr habt nicht begriffen, wie das Internet funktioniert!» – ein Student zeigt, wie leicht wir im Netz überwacht werden

70
Link zum Artikel

«Ich bin schon in mehrere Atomkraftwerke eingebrochen»

7
Link zum Artikel

Das sind die 10 gefährlichsten Programme, die du auf deinem Windows-PC oder Mac haben kannst

48
Link zum Artikel

«Wenn ich eine andere Identität vortäusche, kann ich in das Leben einer Person eindringen»

16
Link zum Artikel

Was passiert, wenn Autos gehackt werden? Hacker zielen auf neuartige Sicherheitslücken

1
Link zum Artikel

Hacker-News auf watson

«Ihr habt nicht begriffen, wie das Internet funktioniert!» – ein Student zeigt, wie leicht wir im Netz überwacht werden

70
Link zum Artikel

«Ich bin schon in mehrere Atomkraftwerke eingebrochen»

7
Link zum Artikel

Das sind die 10 gefährlichsten Programme, die du auf deinem Windows-PC oder Mac haben kannst

48
Link zum Artikel

«Wenn ich eine andere Identität vortäusche, kann ich in das Leben einer Person eindringen»

16
Link zum Artikel

Was passiert, wenn Autos gehackt werden? Hacker zielen auf neuartige Sicherheitslücken

1
Link zum Artikel

Die 25 spannendsten Gadgets, die du 2016 kaufen kannst

Du hast watson gern?
Sag das doch deinen Freunden!
Mit Whatsapp empfehlen

So überwacht uns der Staat

Wo war Herr Glättli die letzten sechs Monate? Minute für Minute, Ort für Ort? Swisscom oder Sunrise wissen es, Sie wissen es jetzt – und der Staat kann es jederzeit wissen

Link zum Artikel

Was der Staat von Ihrem Smartphone will. Und wann. Und weshalb.

Link zum Artikel

«Es ist nur eine Frage der Zeit, bis der Bund auch Telefongespräche und SMS speichern will»

Link zum Artikel

«Dass die Speicherung von Handydaten nichts bringt, ist kompletter Unsinn»

Link zum Artikel

Das Beziehungsnetz: Wer ist beruflich wichtig, wer ist verwandt? Mit wem hat Herr Glättli wirklich viel zu tun?

Link zum Artikel

Wie der Staat Daten «wegen Terror» abgreift – und uns eigentlich bloss komplett verarscht

Link zum Artikel

Die Kapo Bern hat bald ein teures neues Abhörsystem. Aber der eigentliche Skandal dahinter ist die Beschaffung

Link zum Artikel

Die vergessenen Jahre des Terrors: In den 70ern und 80ern zogen Terroristen eine Blutspur durch Europa

Link zum Artikel

Wenn Sie immer noch glauben, Datenschutz sei nur für Menschen, die etwas zu verbergen haben, bitte hier weiterlesen

Link zum Artikel

Die unsäglich peinliche Geschichte der gehackten Hacker (und Kapo-ZH-Lieferanten) in 25 Tweets erzählt

Link zum Artikel

Diese Politiker sorgten sich eben noch um unsere Privatsphäre – und sagen jetzt trotzdem Ja zu mehr Überwachung

Link zum Artikel

Fremde Geheimdienste sollen die Leitungen von Swisscom und Co. angezapft haben. Das musst du wissen

Link zum Artikel

Polizei und Staat wollen Sie im Internet umfassend überwachen. Jeder zweite Schweizer sagt «Nein, danke!»

Link zum Artikel
Alle Artikel anzeigen

So überwacht uns der Staat (11.4.2016)

Wo war Herr Glättli die letzten sechs Monate? Minute für Minute, Ort für Ort? Swisscom oder Sunrise wissen es, Sie wissen es jetzt – und der Staat kann es jederzeit wissen

38
Link zum Artikel

Was der Staat von Ihrem Smartphone will. Und wann. Und weshalb.

8
Link zum Artikel

«Es ist nur eine Frage der Zeit, bis der Bund auch Telefongespräche und SMS speichern will»

11
Link zum Artikel

«Dass die Speicherung von Handydaten nichts bringt, ist kompletter Unsinn»

2
Link zum Artikel

Das Beziehungsnetz: Wer ist beruflich wichtig, wer ist verwandt? Mit wem hat Herr Glättli wirklich viel zu tun?

6
Link zum Artikel

Wie der Staat Daten «wegen Terror» abgreift – und uns eigentlich bloss komplett verarscht

61
Link zum Artikel

Die Kapo Bern hat bald ein teures neues Abhörsystem. Aber der eigentliche Skandal dahinter ist die Beschaffung

29
Link zum Artikel

Die vergessenen Jahre des Terrors: In den 70ern und 80ern zogen Terroristen eine Blutspur durch Europa

226
Link zum Artikel

Wenn Sie immer noch glauben, Datenschutz sei nur für Menschen, die etwas zu verbergen haben, bitte hier weiterlesen

2
Link zum Artikel

Die unsäglich peinliche Geschichte der gehackten Hacker (und Kapo-ZH-Lieferanten) in 25 Tweets erzählt

14
Link zum Artikel

Diese Politiker sorgten sich eben noch um unsere Privatsphäre – und sagen jetzt trotzdem Ja zu mehr Überwachung

20
Link zum Artikel

Fremde Geheimdienste sollen die Leitungen von Swisscom und Co. angezapft haben. Das musst du wissen

2
Link zum Artikel

Polizei und Staat wollen Sie im Internet umfassend überwachen. Jeder zweite Schweizer sagt «Nein, danke!»

8
Link zum Artikel

So überwacht uns der Staat (11.4.2016)

Wo war Herr Glättli die letzten sechs Monate? Minute für Minute, Ort für Ort? Swisscom oder Sunrise wissen es, Sie wissen es jetzt – und der Staat kann es jederzeit wissen

38
Link zum Artikel

Was der Staat von Ihrem Smartphone will. Und wann. Und weshalb.

8
Link zum Artikel

«Es ist nur eine Frage der Zeit, bis der Bund auch Telefongespräche und SMS speichern will»

11
Link zum Artikel

«Dass die Speicherung von Handydaten nichts bringt, ist kompletter Unsinn»

2
Link zum Artikel

Das Beziehungsnetz: Wer ist beruflich wichtig, wer ist verwandt? Mit wem hat Herr Glättli wirklich viel zu tun?

6
Link zum Artikel

Wie der Staat Daten «wegen Terror» abgreift – und uns eigentlich bloss komplett verarscht

61
Link zum Artikel

Die Kapo Bern hat bald ein teures neues Abhörsystem. Aber der eigentliche Skandal dahinter ist die Beschaffung

29
Link zum Artikel

Die vergessenen Jahre des Terrors: In den 70ern und 80ern zogen Terroristen eine Blutspur durch Europa

226
Link zum Artikel

Wenn Sie immer noch glauben, Datenschutz sei nur für Menschen, die etwas zu verbergen haben, bitte hier weiterlesen

2
Link zum Artikel

Die unsäglich peinliche Geschichte der gehackten Hacker (und Kapo-ZH-Lieferanten) in 25 Tweets erzählt

14
Link zum Artikel

Diese Politiker sorgten sich eben noch um unsere Privatsphäre – und sagen jetzt trotzdem Ja zu mehr Überwachung

20
Link zum Artikel

Fremde Geheimdienste sollen die Leitungen von Swisscom und Co. angezapft haben. Das musst du wissen

2
Link zum Artikel

Polizei und Staat wollen Sie im Internet umfassend überwachen. Jeder zweite Schweizer sagt «Nein, danke!»

8
Link zum Artikel

Das könnte dich auch interessieren:

Lehrer M. zur Pisa-Studie: «Schüler erzählen mir fast triumphierend, dass sie nicht lesen»

Link zum Artikel

Toiletgate im Weissen Haus: Wegen Trumps Klo-Tirade lacht das Internet Tränen

Link zum Artikel

Stell dir deine Pizza zusammen und wir sagen dir, ob du Gourmet oder Banause bist

Link zum Artikel

8 Zeichnungen des ersten Terrorhäftlings, die zeigen, wie die Amerikaner folterten

Link zum Artikel

Glück vor Geld – Island treibt Wirtschaft der Zukunft voran

Link zum Artikel

Shaqiri erhält nach Traum-Comeback ein Sonderlob von Klopp – und eine Entschuldigung

Link zum Artikel

Ho ho ho! Der Bundesrat schnürt das Budgetpäckli: Dafür gibt er am meisten Geld aus

Link zum Artikel

Das beste Kamera-Handy gibt's jetzt in der Schweiz – wir haben es getestet

Link zum Artikel

Diese Schweizer Organisationen erhalten am meisten Spendengelder

Link zum Artikel

TikTok zensiert Videos von Menschen mit Behinderung – um sie vor Mobbing zu schützen 🤔

Link zum Artikel

Wegen «Wildwest-Modell» von Uber & Co. – warum bald Millionen in den AHV-Kassen fehlen

Link zum Artikel

Alphabet Inc. – das macht der Mega-Konzern hinter Google wirklich

Link zum Artikel
Alle Artikel anzeigen

Das könnte dich auch interessieren:

Lehrer M. zur Pisa-Studie: «Schüler erzählen mir fast triumphierend, dass sie nicht lesen»

157
Link zum Artikel

Toiletgate im Weissen Haus: Wegen Trumps Klo-Tirade lacht das Internet Tränen

48
Link zum Artikel

Stell dir deine Pizza zusammen und wir sagen dir, ob du Gourmet oder Banause bist

157
Link zum Artikel

8 Zeichnungen des ersten Terrorhäftlings, die zeigen, wie die Amerikaner folterten

229
Link zum Artikel

Glück vor Geld – Island treibt Wirtschaft der Zukunft voran

103
Link zum Artikel

Shaqiri erhält nach Traum-Comeback ein Sonderlob von Klopp – und eine Entschuldigung

22
Link zum Artikel

Ho ho ho! Der Bundesrat schnürt das Budgetpäckli: Dafür gibt er am meisten Geld aus

57
Link zum Artikel

Das beste Kamera-Handy gibt's jetzt in der Schweiz – wir haben es getestet

33
Link zum Artikel

Diese Schweizer Organisationen erhalten am meisten Spendengelder

15
Link zum Artikel

TikTok zensiert Videos von Menschen mit Behinderung – um sie vor Mobbing zu schützen 🤔

6
Link zum Artikel

Wegen «Wildwest-Modell» von Uber & Co. – warum bald Millionen in den AHV-Kassen fehlen

31
Link zum Artikel

Alphabet Inc. – das macht der Mega-Konzern hinter Google wirklich

0
Link zum Artikel

Das könnte dich auch interessieren:

Lehrer M. zur Pisa-Studie: «Schüler erzählen mir fast triumphierend, dass sie nicht lesen»

157
Link zum Artikel

Toiletgate im Weissen Haus: Wegen Trumps Klo-Tirade lacht das Internet Tränen

48
Link zum Artikel

Stell dir deine Pizza zusammen und wir sagen dir, ob du Gourmet oder Banause bist

157
Link zum Artikel

8 Zeichnungen des ersten Terrorhäftlings, die zeigen, wie die Amerikaner folterten

229
Link zum Artikel

Glück vor Geld – Island treibt Wirtschaft der Zukunft voran

103
Link zum Artikel

Shaqiri erhält nach Traum-Comeback ein Sonderlob von Klopp – und eine Entschuldigung

22
Link zum Artikel

Ho ho ho! Der Bundesrat schnürt das Budgetpäckli: Dafür gibt er am meisten Geld aus

57
Link zum Artikel

Das beste Kamera-Handy gibt's jetzt in der Schweiz – wir haben es getestet

33
Link zum Artikel

Diese Schweizer Organisationen erhalten am meisten Spendengelder

15
Link zum Artikel

TikTok zensiert Videos von Menschen mit Behinderung – um sie vor Mobbing zu schützen 🤔

6
Link zum Artikel

Wegen «Wildwest-Modell» von Uber & Co. – warum bald Millionen in den AHV-Kassen fehlen

31
Link zum Artikel

Alphabet Inc. – das macht der Mega-Konzern hinter Google wirklich

0
Link zum Artikel

Abonniere unseren Newsletter

5
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
5Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Alnothur 28.01.2016 02:47
    Highlight Highlight "sogenannte Exploits" sind übrigens nicht die Sicherheitslücken, sondern Code, bzw. ein bestimmtes Vorgehen, sie auszunützen. Eine Sicherheitslücke an sich ist nämlich erstmal ziemlich nutzlos.
  • malu 64 27.01.2016 17:16
    Highlight Highlight Viele Behörden operieren mit
    Acrobate updates! Also Vorsicht!
  • malu 64 27.01.2016 15:58
    Highlight Highlight Das Darknet ist nicht nur eine
    Handelsplattform. Hier können sich Leute ungestört austauschen
    ohne dass jemand mithört!
    Hier herrscht absolute Meinungsfreiheit.
  • Pjotr 27.01.2016 14:49
    Highlight Highlight Auch hier: Apple mal wieder völlig überteuert.
  • Gantii 27.01.2016 14:23
    Highlight Highlight es sollte illegal sein, steuergelder für jegliche exploits (nicht nur 0-day) auszugeben.

17 Tonnen CO2 für einen Elektroauto-Akku? Das steckt hinter dem Mythos

Für Kritiker der Elektromobilität war die «Schweden-Studie» vor zwei Jahren ein gefundenes Fressen: Sie sahen sie als Beleg, dass E-Autos kaum umweltfreundlicher als Verbrenner seien. Die gleichen Forscher kommen nun zu einem ganz anderen Schluss.

Haben Elektroautos wegen der aufwendigen Produktion der Batterien kaum ökologische Vorteile gegenüber konventionellen Fahrzeugen? Eine Studie aus Schweden vor zwei Jahren hatten Gegner der E-Mobilität so ausgelegt. Nun zeichnen neue Daten derselben Forscher ein ganz anderes Bild.

Bei der Produktion der Batterien von Elektroautos werden laut einer neuen Studie inzwischen weniger klimaschädliche Gase ausgestossen als vielfach angenommen. Einer der Hauptgründe dafür sei, dass die …

Artikel lesen
Link zum Artikel