Unternehmen unter Beschuss

Cyber-Spionage in der Praxis

14.08.2014
Von Tom Zeller
Dieter Steiner, SSP Europe sieht vor allem KMUs unter Beschuss.
Dieter Steiner, SSP Europe sieht vor allem KMUs unter Beschuss.
Foto: SSP Europe

Eine Studie der RAND Corporation zeigt, dass sich die Preise dieser Zero-Day-Exploits in einem Bereich von mittleren vierstelligen bis hin zu sechsstelligen Beträgen bewegen. Dabei gilt nach den Gesetzen des Marktes: Je weiter verbreitet die angegriffene Software und je schwieriger es ist, dort Schwachstellen zu finden, desto höher ist gleichzeitig der pro ausnutzbarer Sicherheitslücke erzielte Preis. Übrigens tanzen auch die Geheim- und Nachrichtendienste auf diesem Parkett und tragen somit zur Finanzierung und Erhaltung dieses Schwarzmarkts aus Steuermitteln bei, das heißt letztlich zahlen die von der eigenen Regierung bespitzelten Unternehmen die Zeche selbst.

Staaten mischen kräftig mit

Nachrichtendienste, auch der deutsche, benötigen die dort erworbenen Schwachstellen neben Geheimoperationen auch für ihre Aktivitäten im Bereich von "Staatstrojanern" und "Online-Durchsuchungen". Besonders pikant dabei: Der Kauf und die Geheimhaltung von verbreiteten Schwachstellen stehen an sich im Widerspruch zu dem eigentlichen geheimdienstlichen Auftrag, den Schutz der Infrastruktur des eigenen Landes gegen Bedrohungen sicherzustellen.

Professionelle Angreifer wählen ihr Ziel natürlich nicht aus dem Bauch heraus, sondern treffen kalkulierte Wirtschaftlichkeitserwägungen: So werden für erfolgsversprechende Attacken durchaus hohe finanzielle Mittel bereitgestellt und eingesetzt. Bei staatlichen Diensten scheinen die Ressourcen teilweise gar keine nennenswerte Rolle zu spielen: Wenn einem Angreifer das lukrative oder aus anderen Gründen wichtige Ziel entsprechend viel wert ist, dann kann er für das Eindringen in ein Firmennetzwerk solch einen Zero-Day-Exploit erwerben und erhält damit im Gegenzug durchaus realistische Erfolgsaussichten für sein verbotenes Handeln.

Zur Startseite