News Verschlüsselung: Zitis will keine Zero-Day-Exploits kaufen

Andy

Tagträumer
Teammitglied
Dabei seit
Mai 2003
Beiträge
7.030
#1
Wilfried Karl hat sich als Präsident der Zentralstelle für Sicherheit in der Informationstechnik (Zitis) erstmals öffentlich zu Wort gemeldet. Bei einer Fachkonferenz in Berlin skizzierte er den Aufgabenbereich der Entschlüsselungsbehörde und nannte Details zur Vorgehensweise, berichtet die Süddeutsche Zeitung.

Zur News: Verschlüsselung: Zitis will keine Zero-Day-Exploits kaufen
 
Dabei seit
Okt. 2008
Beiträge
5.280
#6
So erklärte er laut der Süddeutschen Zeitung: „Wir schaffen keine Sicherheitslücken, diese existieren bereits und sind seit Jahren bekannt.“
Einer der vielen Gründe wieso die IT-Stellen beim Bund wenig beliebt sind ist die als wenig kompetent geltende Führung des Ganzen. Ich freue mich, dass diese Tradition fortgesetzt wird.
 
Dabei seit
Juli 2012
Beiträge
1.411
#7
Es wurde nirgends gesagt, das Zitis keine 0-Day-Hacks kauft! Das ist so falsch! (edit: Vielleicht auch von Zitis gewollt, wer weiß)
Die kaufen nichts vom Schwarzmarkt oder unseriösen Firmen. Das von seriösen Sicherheitsdienstleistern oder anderen Einrichtungen (FBI... die ich jetzt mal als seriös bezeichne) nichts gekauft wird bzw. überhaupt gar keine 0-Day-Hacks gekauft werden wurde nirgends gesagt. Nur kein Schwarzmarkt.

Man hat nur eine von vielen Quellen ausgeschlossen. Und wenn ich jetzt was falsch Verstehe korrigiert mich.
 
Zuletzt bearbeitet:
Dabei seit
Juni 2009
Beiträge
6.844
#9
Seine Behörde wolle demnach keine Zero-Day-Exploits auf Grau- oder Schwarzmärkten kaufen. Mit unseriösen Firmen würde man nicht zusammenarbeiten.
Überspezifisches Dementi? Heißt das, daß seine Behörde auf Weißmärkten 0-Days kaufen und mit seriösen Firmen zusammenarbeiten wird?

€dit: Optimus91 hatte die gleiche Idee.
 

DerPessimist

Lt. Junior Grade
Dabei seit
Aug. 2017
Beiträge
287
#11
Die wollen keine Exploits kaufen, die müssen es aber tun. Das wäre das Ergebnis der politischen Ausdrucksweise.
Oder eine andere "seriöse" Behörde kauft diese Exploits und sendet diese zu...

Zum Glück lässt die politische Ausdrucksweise immer großen Spielraum!?
Das Muster bei solchen Aussagen ist jedenfalls immer gleich. Es brauch nur ein Wort um die Gutgläubigen etwas glauben zu lassen, was nicht der tatsächlichen Wahrheit entspricht.

"Ich habe keinen Fernseher." -> "Meine Frau hat einen Fernseher, ich schaue aber mit."
"Meine Frau hat kein Auto." -> "Ich habe zwei Autos, Eines nutzt hauptsächlich meine Frau."
 
Zuletzt bearbeitet:
Dabei seit
Sep. 2006
Beiträge
2.947
#12
Wenn die qualifiziertes Personal wollen, dann müssen sie auch mehr zahlen und vorallem ihre Anforderungen herunterschrauben. Selbst jemanden mit zig Jahren Beruferfahrung in der IT Sicherheitsbranche und Masterabschluss mit ca 3000€ brutto abspeisen ist relitätsfremd. Ein weniger qualifizierter Hacker wird in der freien Wirtschaft deutlich besser bezahlt

Die Exploits werden so oder so verkauft, ob da jetzt eine Behörde nichts kauft fällt da garnicht ins Gewicht

Man hat nur eine von vielen Quellen ausgeschlossen. Und wenn ich jetzt was falsch Verstehe korrigiert mich.
Dann muss man sich aber auch fragen woher die anderen Behörden, Organisationen, etc die Exploits her haben, wahrscheinlich genau aus diesen unseriösen Quellen. Was die Zusammenarbeit mit den anderen kostet wird ja auch nicht genannt, da muss man sich schon fragen ob dies die billigere Arbeitsweise ist indem man auf diese unseriösen Quellen verzichtet nur um politisch schön dazustehen
 
Zuletzt bearbeitet:
Dabei seit
Okt. 2011
Beiträge
12.420
#13
Überspezifisches Dementi? Heißt das, daß seine Behörde auf Weißmärkten 0-Days kaufen und mit seriösen Firmen zusammenarbeiten wird?
"Seriöse Firmen" wie z.B. HBGary.

Es ist tatsächlich eine bewährte Vorgehensweise, dass Sicherheitsbehörden Maßnahmen, die ihre Kompetenzen überschreiten würden, einfach an Privatunternehmen outsourcen.
Wenn man sich die Hände nicht schmutzig machen will, schaltet man einfach Strohmänner dazwischen, die die Drecksarbeit für einen machen.
 
Dabei seit
Okt. 2013
Beiträge
2.187
#15
Zitat von ComputerBase:
In der Praxis bedeutet das allerdings: Wenn sich die Verschlüsselung selbst nicht knacken lässt, muss Zitis einen Staatstrojaner entwickeln. Das setzt allerdings voraus, dass die Behörde Sicherheitslücken in Betriebssystemen wie Windows, Android oder iOS ausnutzt, um die Malware einzuschleusen.
Dieser Absatz lässt doch ein wenig am Sachverstand des Autors zweifeln. Der Staatstrojaner ist eine so genanntes Implant (ähnlich wie ein rootkit), der setzt erstmal gar keine Sicherheitslücken voraus.

Wie der Staatstrojaner auf den Rechner kommt ist eine ganz andere Frage. Hier können Sicherheitslücken eine Rolle spielen, müssen aber nicht. In der Vergangenheit kam oft Social Engineering zum Einsatz (z.B. Email mit gefälschtem Absender und bösartigem Anhang), oder Man-In-The-Middle auf SSL mit gefälschten Zertifikaten. Da das immer schwieriger wird, werden auch Evil-Maid-Angriffe beliebter: Wenn die Zielperson ihr neues Handy im Versandhandel bestellt, braucht es halt einen Tag länger oder Notebooks dürfen plötzlich aus Sicherheitsgründen im Flugzeug nicht mehr ins Handgepäck sondern nur noch in den Frachtraum.

Zitat von ComputerBase:
So erklärte er laut der Süddeutschen Zeitung: „Wir schaffen keine Sicherheitslücken, diese existieren bereits und sind seit Jahren bekannt.“
Das ist in vielen Fällen auch korrekt so, nur wenige Android- (und inzwischen auch Windows-)Telefone sind auf einem aktuellen Sicherheitsstand. Und sowohl Smartphone- als auch PC-Hardwarehersteller lassen sich oftmals mehrere Jahre Zeit, gemeldete kritische Sicherheitslücken auch zu beheben, wenn überhaupt.

Und selbst dort, wo ein 0-day-Exploit nötig wäre: Dann beauftragt man lieber einen externen Dienstleister oder bittet einen befreundeten Dienst, anstatt sich selber die Hände schmutzig zu machen. Je mehr Leute über einen 0-day Bescheid wissen, desto größer das Risiko, dass er publik wird.
 
Top