Immer wieder werden wir mit Hinweisen auf erhebliche Sicherheitslücken konfrontiert, meistens in Betriebssystemen wie Windows, macOS oder Android. Oft aber auch in Programmen wie Browsern, Office-Anwendungen oder Entwickler-Tools. Wir werden dann aufgefordert, die Lücken zu stopfen – mit Updates.
Aus gutem Grund, denn Sicherheitslecks sind Einfallstore für Schadprogramme. Was viele nicht wissen: Es gibt einen regen, milliardenschweren Handel mit solchen Sicherheitslecks – und der Markt boomt wie nie zuvor.
Wie muss ich mir so einen Handel mit Sicherheitslücken vorstellen?
Sicherheitslücken sind wertvoll, denn wer ein Sicherheitsleck kennt, kann es ausnutzen, um in fremde Rechner, Smartphones oder IoT-Geräte einzudringen. Und wer über das Internet in fremde Systeme eindringen kann, der kann zum Beispiel Daten klauen oder manipulieren, Ransomware einschleusen und Lösegeld fordern, Kryptowährungen schürfen, Banking-Daten ausspionieren oder ganze Infrastrukturen lahmlegen.
Fast alle kriminellen Aktivitäten im Internet beruhen auf der Ausnutzung von Sicherheitslecks. Man kann also mit Sicherheitslücken eine Menge Geld verdienen, wenn man sie kennt – und je eher man sie kennt, umso besser. Dann sind sie noch nicht gestopft, man hat mehr potenzielle Opfer und kann länger Schaden anrichten.
Darum lassen sich Sicherheitslücken verkaufen: Wer ein Leck entdeckt und auch zeigt, wie man es ausnutzen kann – das wird dann „Exploit“ genannt -, der kann die Lücke zum Verkauf anbieten. Und es gibt Käufer: Kriminelle, Geheimdienste, aber auch private Sicherheitsfirmen, die dafür teilweise Millionen bezahlen.
Wie funktioniert das in der Praxis: Man kann solche Sachen doch nicht bei eBay anbieten?
Aber so ähnlich. Es gibt spezielle Plattformen im Darknet, aber auch im normalen Internet. Im Darknet werden Exploits gleich neben Drogen, Waffen und gefälschten Dokumenten angeboten. Das ist ausgesprochen professionell gemacht: Man kann auf Exploits bieten, Verkäufer bewerten – wie bei eBay oder Amazon -, es gibt Warenkörbe und sogar Kundenservice.
Neu sind aber auch legale Broker-Plattformen entstanden, die als Mittelsmänner zwischen Hackern und Regierungen agieren. Diese „Exploit-as-a-Service“-Anbieter operieren teilweise völlig legal und haben sich zu einem regelrechten Industriezweig entwickelt. Bezahlt wird meist mit Kryptowährungen wie Bitcoin, Monero oder Zcash – alles schwer nachverfolgbar.
Der Zugang zu diesen Märkten ist heute einfacher geworden. Während man früher tiefe Darknet-Kenntnisse brauchte, gibt es mittlerweile sogar Telegram-Kanäle und Discord-Server, wo Exploits gehandelt werden.
Was kostet denn so ein Exploit?
Die Preise sind in den letzten Jahren explodiert. Einfache Exploits für verbreitete Software kosten zwischen 1.000 und 50.000 Euro. Richtig teuer wird es bei „Zero-Day-Exploits“ – Lücken, von denen die Hersteller noch nichts wissen.
Ein Zero-Day-Exploit für iOS kann mittlerweile 2-5 Millionen Euro kosten, wenn man ihn exklusiv haben will. Android-Exploits liegen bei 1-3 Millionen. Besonders begehrt sind Lücken in Messaging-Apps wie WhatsApp oder Signal – die können 10 Millionen Euro und mehr kosten.
Die Preise steigen kontinuierlich, weil immer mehr Akteure mitbieten: Kriminelle, Geheimdienste aus aller Welt, aber auch Cybersecurity-Firmen, die ihre Kunden schützen wollen. Ein echter Verkäufermarkt.
Auch Behörden kaufen Exploits: Warum? Um uns zu schützen?
Leider nein. Wenn es darum ginge, Lücken aufzukaufen um sie zu schließen, wäre das löblich. Aber das Gegenteil ist der Fall: Geheimdienste und Strafverfolgungsbehörden weltweit wollen Werkzeuge, um andere auszuspionieren oder Beweise zu sammeln.
Deutsche Behörden nutzen inzwischen verschiedene „Staatstrojaner“ wie FinFisher oder die vom ZITiS entwickelte Software. Auch hier werden eingekaufte Exploits verwendet. Europol, FBI, CIA – alle sind aktive Käufer auf diesen Märkten.
Das Problem: Der Markt wird dadurch massiv angeheizt. Es lohnt sich mehr denn je, Sicherheitslücken zu finden und zu verkaufen, statt sie den Herstellern zu melden. Selbst ethische Hacker geraten in Versuchung, wenn ihnen Millionen geboten werden.
Gibt es legale Alternativen?
Ja, die gibt es: Bug-Bounty-Programme. Unternehmen wie Google, Microsoft, Apple oder Meta zahlen Prämien für gemeldete Sicherheitslücken. Google zahlt bis zu 250.000 Dollar für schwere Android-Lücken, Apple bis zu 1 Million für iOS-Exploits.
Das Problem: Die Summen sind oft viel niedriger als auf dem Schwarzmarkt. Warum sollte ein Hacker 100.000 Dollar von Apple nehmen, wenn Geheimdienste 5 Millionen bieten?
Einige Länder wie die Niederlande haben interessante Ansätze entwickelt: Sie kaufen Exploits auf, aber nur um die Hersteller zu informieren und die Lücken zu schließen. Das wäre ein Modell für andere Staaten.
Was kann man dagegen unternehmen?
Die Politik ist gespalten. Während Sicherheitsbehörden auf ihre „digitalen Waffen“ nicht verzichten wollen, fordern Datenschützer und IT-Sicherheitsexperten ein Umdenken. Der Vorschlag: Vulnerability Equities Process – ein Verfahren, bei dem abgewogen wird, ob eine Lücke geheim gehalten oder geschlossen wird.
Für uns Nutzer bleibt: Updates sofort installieren, wenn sie verfügbar sind. Automatische Updates aktivieren. Und bei wichtigen Geräten zusätzliche Sicherheitssoftware verwenden.
Die traurige Wahrheit: Solange Regierungen Millionen für Exploits zahlen, wird dieser Markt weiter boomen. Und wir alle werden dadurch unsicherer, nicht sicherer.
Zuletzt aktualisiert am 09.04.2026
