Es gab Zeiten, da musste man sich in den dunkleren Ecken des Internets herumtreiben, wenn man ein paar gute Zero-Days für iPhones kaufen wollte. Zero-Days sind Schwachstellen in Computersystemen, die bisher nur dem bekannt sind, der sie entdeckt hat – die also null Tage alt sind. Und mit deren Hilfe man zum Beispiel dein Handy hacken kann, wenn man will.

Um diese Schwachstellen hat sich eine regelrechte Industrie entwickelt: Es gibt Unternehmen, die andere Unternehmen dafür bezahlen, ihre Systeme auf Schwachstellen zu überprüfen. Große Tech-Konzerne zahlen White Hackern hohe Belohnungen dafür, dass sie sie auf Schwachstellen aufmerksam machen. Und es gibt Unternehmen, die gezielt Informationen über Schwachstellen ankaufen, um sie zum Beispiel an Geheimdienste weiterzuverkaufen.

So ein Unternehmen ist Zerodium. Zerodium bezeichnet sich selbst als führende Schwachstellen-Ankauf-Plattform („Exploit Acquisition Platform“) für Zero-Days. Das Unternehmen von Gründer Chaouki Bekrar ist bisher die einzige Firma, die eine Preisliste für die Zero-Days offen ins Internet gestellt hat.

„Wir zahlen hohe Summen an Security-Forscher, um ihre eigene und unbekannte Zero-Day-Forschung zu kaufen“, schreibt Zerodium auf der Website. „Bei Zerodium konzentrieren wir uns auf Hochrisiko-Schwachstellen mit voll funktionsfähigen Wegen, diese auszunutzen, und wir zahlen die höchsten Belohnungen dafür (bis zu 2.000.000 Dollar pro Einreichung).“

Und Zerodium hat gerade die Preise erhöht. Gesucht werden Schwachstellen für die Betriebssysteme Microsoft Windows, Linux und macOS. Für alle großen Browser, für klassische Bürosoftware wie Word oder den Acrobat Reader, für alle wichtigen Handy-Betriebssysteme, für E-Mail-Server, WordPress, WLAN und Router. Kurz: eigentlich für alles, was an IT so massenweise im Umlauf ist, für alle größeren Marken.

Aber auch wenn jemand eine nischigere Schwachstelle gefunden hat – kein Problem: „Wenn du Zero-Day-Exploits für andere Produkte oder Systeme hast, die nicht oben aufgelistet sind, schicke gerne ein paar Details und wir reden drüber“, schreibt Zerodium.

Wie in einem Periodensystem hat Zerodium auf der Seite auch die Preise für die jeweiligen Schwachstellen aufgelistet. Am teuersten ist eine frische Android-Schwachstelle, bei der das Ziel gehackt werden kann, ohne dafür auch nur einen falschen Klick machen zu müssen – Zero-Klick nennt sich das im Fachjargon. Zerodium ist so ein Zero-Klick Zero-Day für Android bis zu 2,5 Millionen Dollar wert. Ein iOS-Zero-Klick-Zero-Day, mit dem also dein iPhone gehackt werden kann, ohne dass du nur einen falschen Swipe machst, kauft Zerodium für aktuell zwei Millionen Dollar an.

Schwachstellen, die über Whatsapp oder iMessage funktionieren, sind Zerodium hingegen nur 1,5 Millionen Dollar wert.

Weiter unten auf der Website erklärt Zerodium noch, wie das mit der Auszahlung funktioniert: Alle eingereichten Schwachstellen werden innerhalb einer Woche getestet, und wer keine Dollar mag, kann sich auch in Bitcoin oder Monero bezahlen lassen – einer Krypto-Währung, die nicht nachverfolgbar ist.

Damit keine Fragen aufkommen, erklärt diesen Grafik das noch einmal.

In den FAQ von Zerodium finden sich noch ein paar spannende Stellen. Zum Beispiel betrachtet Zerodium das Wissen über Schwachstellen als geistiges Eigentum: Wer den Vertrag unterzeichnet, so Zerodium, verkauft seine „Forschung“ und alle dazugehörigen Rechte am geistigen Eigentum an die Firma und darf den jeweiligen Zero-Day nicht mehr an andere verkaufen oder melden. Wie genau allerdings eine Klage gegen einen Hacker aussehen würde, der Zerodium erst eine Anleitung zum Hacken von iPhones verkauft, dafür Monero kassiert und dann Apple auf die Schwachstelle aufmerksam macht, wird leider nicht erklärt.

Was genau Zerodium mit den gekauften Schwachstellen macht, verrät das Unternehmen nicht. „Größtenteils“, heißt es in den FAQ, wären Zerodiums Kunden aber Regierungsorganisationen, die „spezielle Cyber-Security-Fähigkeiten oder Schutz Lösungen“ brauchen.

Bemerkenswert ist dabei, dass Zerodium auch schon einen Newsletter per Abo-Modell für Zero-Days anbietet: den Zero-Days Research-Feed.