Angreifer nutzen noch unbekannte und demnach unbehandelte Schwachstellen (Zero-Day-Exploits) bestehender Systeme, Programme oder Anwendungen, um Schadsoftware zu installieren oder Daten zu sammeln. Um Schwachstellen zu finden, werden Exploit Kits verwendet, die dem Angreifer verwendete Programme und Anwendungen sowie ihre aktuelle Version darstellen und anzeigen, ob ein Nutzer ein potenzielles Opfer sein kann.

Abb. 1: Auskundschaften von Schwachstellen.

Abb. 1: Auskundschaften von Schwachstellen.

2014 kam der Bundesnachrichtendienst (BND) in negative Schlagzeilen, weil er, um mit anderen Nachrichtendiensten auf gleicher Augenhöhe agieren zu können, Zero-Day-Exploits kaufte. Die Softwareschwachstellen machen es dem BND möglich, trotz geschützter Kommunikation, Informationen über den Nutzer zu erhalten. 2015 wollte der BND 4,5 Millionen Euro für Zero-Day-Exploits ausgeben.

Der Pressesprecher des Chaos Computer Clubs (CCC), Dirk Engling, kritisiert den BND scharf. Durch Zurückgreifen auf das Schwarzmarktangebot der Zero-Day-Exploits, steigert der BND die Nachfrage. Bedenklich sei auch der Nutzen der Schwachstellen anstatt das Beseitigen von Sicherheitslücken. Engling sieht hier auch schwere Schäden für die deutsche Wirtschaft, die schon damals starke Probleme beim Ausbessern der Lücken hatte. Auch der Bundesvorsitzende der Piratenpartei, Stefan Körner, kritisiert den BND mit Steuergeldern einen Sektor zu fördern, dessen Interesse in dem Angreifen von technischen Infrastrukturen liegt.