Wie Cyber-Spione zu Werke gehen

Für Hinweise auf solche Softwarelücken zahlen Käufer zum Teil astronomische Summen: In einer im vergangenen Frühjahr vom US-Magazin "Forbes" veröffentlichten Übersicht reichen die gebotenen Preise für solche Schwachstellen von 5000 Dollar - bei älteren Versionen von Adobes Dokumentensoftware Acrobat Reader - bis zu 250 000 Dollar für einen funktionierenden Angriff auf Apples Smartphone-Betriebssystem iOS.

Solche Beträge übersteigen die Budgets gewöhnlicher Cyber-Krimineller. Nicht aber die Geldtöpfe von Strafverfolgungsbehörden und Geheimdiensten, die sich auf dem Graumarkt eindecken.

Ein ambivalentes Geschäft

Auch deutsche Behörden sollen laut Szenekennern bis zu 50 000 Euro für verlässlich funktionierende digitale Einbruchswerkzeuge zahlen - und sich auch für komplette Spionageprogramme interessieren. So präsentierte der deutsche Bug-Händler Muench dem Bundeskriminalamt das Know-how seines Unternehmens Gamma International - darunter eine Spionagesoftware namens FinFisher, die Internet-Telefonate mitschneiden kann, bevor sie durch Software wie Skype verschlüsselt werden.

Programme wie FinFisher zeigen, wie ambivalent das Geschäft der Bug-Händler ist. Einerseits helfen ihre Hinweise den Sicherheitsbehörden demokratischer Länder, die Kommunikationskanäle von organisierten Kriminellen oder Terroristen auszuforschen. Andererseits werden die Spezialprogramme - etwa in autoritären Staaten - schnell zur Waffe gegen Regimekritiker.

Entsprechend kritisch beurteilt daher der US-Datenschutzspezialist Christopher Soghoian von der Bürgerrechtsorganisation American Civil Liberties Union das weltweit blühende Geschäft mit Sicherheitslücken. „Der Verkauf von Schwachstellen an Strafverfolger, Militärs oder Geheimdienste in Ländern mit Menschenrechtsverletzungen bereitet mir erhebliche Sorgen“, sagt Soghoian.