Hack Backs – Pro und Kontra: Schwachstellen zu Cyberwaffen formen oder doch lieber schließen?
Als die Katze aus dem Sack war, musste die NSA handeln. Sie hatte keine andere Wahl, als die Schwachstelle nun doch preiszugeben. So informierte sie Microsoft im März 2017 über EternalBlue. Mitte des gleichen Monats veröffentlichte Microsoft eine Reihe von Patches – zu spät um Pandoras Box geschlossen zu halten.
Fast zwei Monate später richtete der Trojaner WannaCry, der die EternalBlue-Schwachstelle ausnutzt, teils verheerende Schäden bei zahlreichen Unternehmen auf der ganzen Welt an. So wurde bekannt, dass WannaCry und ähnliche Malware-Varianten, wie NotPetya, in nur einem Jahr neun Milliarden Dollar Schaden verursachte. Die weltgrößte Reederei, Maersk, wurde mit 300 Millionen US-Dollar getroffen. Die Kosten für den britischen National Health Services (NHS) lagen bei über 100 Millionen US-Dollar. Es gab noch zahlreiche andere Opfer, darunter der Flugzeughersteller Boeing (März 2018) und der Chiphersteller TSMC (August 2018). Nach Schätzungen von TSMC selbst erlitt das Unternehmen einen Schaden um die 170 Millionen Dollar. Doch damit nicht genug. Untersuchungen zufolge sind Millionen von Computern immer noch durch EternalBlue gefährdet.
Die Ökonomie des Cyberwaffen-Marktes
Zweifelsohne lohnt es sich finanziell, Zeit und Geld aufzuwenden, um Schwachstellen aufzufinden. Nehmen wir den CryptoWall-Virus: CryptoWall v3 allein hat einen “Umsatz” von mehr als 325 Millionen Dollar erzielt. Das Geschäftsmodell und die Margen im Einzel- und Großhandel mit Cyberwaffen sowie die Einnahmechancen aus dem Angebot von “Cybercrime-as-a-Service” ergeben nicht nur wirtschaftlich Sinn, sondern sind auch absurderweise relativ risikofrei. Die Cybergesetze der einzelnen Länder sind so unterschiedlich, dass ein Cyberkrimineller von einem sicheren Hafen aus operieren kann, ohne Angst vor Strafverfolgung oder Auslieferung haben zu müssen.
Dabei sind Schwachstellen, die bestimmte Kriterien erfüllen, besonders begehrt und werden mit hohen Summen bezahlt. Als Faustregel gilt: Je einfacher die Bedienung und je mehr Systeme und Geräte betroffen sind, desto besser. Je teurer der Gegenwert, desto höher der Preis, der erzielt wird. Der Verkauf einer hochkarätigen Schwachstelle an einen einzelnen Benutzer scheint die am wenigsten profitable Art zu sein, dieses “Geschäft” zu betreiben. Stattdessen wird der Verkäufer eher versuchen, eine Schwachstelle mehr als einmal zu verkaufen. Auf der anderen Seite will jeder Käufer – unabhängig von seiner Motivation für den Kauf – die Schwachstelle ausschließlich nutzen. Anträge auf Exklusivität erhöhen den Preis für jede Schwachstelle. Zwar gibt es keine dokumentierten Fälle, aber vermutlich steigt der Preis bei Exklusivrechten um den Faktor zehn oder sogar mehr.
