Deutsche Regierung: Streit um Ausnutzung von Sicherheitslücken

Zankapfel Zero Day-Lücke

In der Bunderegierung gibt es seit kurzer Zeit einen Streit darüber, wie mit sogenannten Zero Day-Sicherheitslücken umgegangen werden soll (also ausnutzbaren Schwachstellen in Software, von denen die Hersteller oft noch nichts wissen und für die noch kein Update existiert).
Laut einem Artikel der Zeit stehen sich in dieser Frage das Außenministierium einerseits und das Innenministerium mit seinen Geheimdiensten und Polizeibehörden andererseits gegenüber. Während das Außenministerium als Teil einer UNO Arbeitsgruppe bemüht ist, eine weltweite Ächtung von Cyberattacken, die auf Zero Day-Lücken basieren, herbeizuführen, um kritische Infrastruktur eines Landes zu schützen, argumentiert das Innenministerium, dass Maßnahmen wie etwa der Bundestrojaner nicht effektiv ausgeführt werden könnten, wenn kein Pool an Zero Day-Sicherheitslücken angelegt und regelmäßig – je nach Kenntnisstand – aktualisiert werden würde.

Kompromiss nach US Vorbild?

Die unterschiedlichen Positionen scheinen sich diametral gegenüberzustehen, doch gibt es Aussichten auf einen Kompromiss. In den USA löst der sogenannte „Vulnerabilities Equities Process“ den Interessenkonflikt zwischen Sicherheitsaspekten und Rücksichtnahme auf Interesse von Hersteller, Kunde und anderen Regierungen.
Staatliche Stellen entscheiden nach VEP selbst darüber, ob eine Sicherheitslücke so kritisch ist, dass der Hersteller aus Verbraucherinteresse sofort informiert werden muss oder ob das Risiko vernachlässigbar genug ist, um sie für eigene Zwecke auszunutzen.
Unabhängig von der Tatsache, dass ein solches Verfahren enormen verwalterischen und ressourcentechnischen Aufwand bedeutet, argumentieren Kritiker beider Lager, dass schon die Prüfzeit zu viel ist: entweder, weil die Lücke bereits geschlossen sein könnte, wenn der Prozess abgeschlossen ist, andererseits weil sie bereits durch Kriminelle ausgenutzt worden sein könnte, bevor man sich dazu entschließt, den Hersteller zu informieren.
Obwohl in dieser Frage mit VEP ein Lösungansatz nahe zu liegen scheint, steht das Beispiel doch exemplarisch dafür, wie sehr sich die Bundesregierung bei Fragen nach Cybersicherheit und Cyberkriegsführung noch am Anfang befindet.

Wie hilfreich war dieser Artikel?
Deutsche Regierung: Streit um Ausnutzung von Sicherheitslücken

Teilen diesen Beitrag

Twitter
Email
Das könnte Ihnen auch gefallen: