Digitale Sicherheitslücken Deutschland braucht ein behördenübergreifendes IT-Schwachstellenmanagement

Bild von Sven Herpig

Expertise:

Sven Herpig ist Leiter für Internationale Cyber-Sicherheitspolitik bei der Stiftung Neue Verantwortung.

Bislang entscheiden Behörden eigenständig, ob sie IT-Schwachstellen melden oder nicht. Das sollte sich jedoch ändern. Ein Sekretariat auf nationaler Ebene könnte die entsprechende Koordination und Organisation übernehmen.

"Zero Days" sind Schwachstellen in Hard- und Software, die auch den Herstellern nicht bekannt sind. Sie bedrohen die IT-Sicherheit von Behörden, Industrie und Verbraucher:innen in Deutschland. Behörden sind durch eigene Forschung, den Ankauf von Schwachstellen-Brokern oder den Austausch mit Partner-Behörden und Sicherheitsforscher:innen prinzipiell in der Lage, solche Schwachstellen vor dem Hersteller zu kennen. Im Anschluss an eine solche Erkenntnis sollte ressortübergreifend bewertet und analysiert werden, wie mit dem jeweiligen "Zero Day" umgegangen werden soll. Aktuell kann jede Behörde nach eigenem Ermessen verfahren.

Der Umgang mit "Zero Day"-Schwachstellen sollte ressortübergreifend bewertet und analysiert werden.

zustimmen
ablehnen
Ergebnis
Debattenübersicht

Erlangt ein Hersteller Kenntnis von einer Schwachstelle in seiner Hard- oder Software, kann er einen Schutzmechanismus entwickeln und bereitstellen – kurzfristig handelt es sich dabei oftmals um eine provisorische Notlösung, später dann eine permanente Sicherheitsaktualisierung. Selbst dann ist das Risiko für erfolgreiche Angriffe allerdings noch sehr hoch, da die Angreifer:innen die Schwachstelle aus der permanenten Aktualisierung ableiten und weiterhin ausnutzen können. Nur mit diesem permanenten Update sind Computer in Firmen, Behörden und Privathaushalten tatsächlich sicher.

Nachrichtendienste, Militärs und Akteur:innen der organisierten Kriminalität nutzen Schwachstellen für Angriffe aus, sobald sie davon Kenntnis erlangen. Für die Arbeit der genannten Gruppen ist es jedoch wichtig, dass sie Sicherheitslücken vor deren Schließung finden. Nur so können diese effektiv für Angriffe auf IT-Systeme von Nutzer:innen verwendet werden. Behörden haben daher ein Interesse daran, entdeckte Sicherheitslücke zurückzuhalten und nicht an den Hersteller zu melden oder andere Behörden darüber zu informieren.

Behörden haben ein Interesse daran, entdeckte Sicherheitslücken zurückzuhalten.

zustimmen
ablehnen
Ergebnis
Debattenübersicht

Um diese teils gegensätzliche Interessen – IT-Sicherheit und öffentliche Sicherheit – unter einen Hut zu bringen, bedarf es daher eines nationalen und koordinierten Abwägungsprozesses. So kann ermittelt werden, wie IT-Sicherheit, nachrichtendienstliche Informationsgewinnung, offensive militärische Fähigkeiten und Strafverfolgung im Cyberraum möglichst miteinander vereint werden können.

Konkret könnte die Organisation eines Schwachstellenmanagements von einem zentralen Sekretariat übernommen werden. Dieses Sekretariat wird umgehend darüber in Kenntnis gesetzt, wenn eine deutsche Behörde eine Zero-Day Schwachstelle findet, mitgeteilt bekommt oder erwirbt. Bei Bekanntwerden einer Sicherheitslücke wird ein Entscheidungsgremium aus allen Behörden mit rechtmäßigen Interessen an der zukünftigen Nutzung der Schwachstelle einberufen, das die Schwachstelle nach verschiedenen Kriterien wie Verbreitungsgrad, Schweregrad oder operativem Nutzen für die Sicherheitsbehörden bewertet und anschließend eine Entscheidung trifft, die zum Beispiel das kurzfristige Zurückhalten einer Schwachstelle oder die direkte Weitergabe der Informationen an den Hersteller sein kann.

Das Schwachstellenmanagement sollte von einem zentralen Sekretariat organisiert werden.

zustimmen
ablehnen
Ergebnis
Debattenübersicht

Ein behördenübergreifendes IT-Schwachstellenmanagement kann allerdings nur dann erfolgreich sein, wenn verschiedene Schutzmaßnahmen gegeben sind. So muss das Wissen um die Schwachstellen sicher verwahrt werden, damit es nicht in die Hände Dritter gelangt. Auch eine parlamentarische Kontrolle ist notwendig, um die Richtigkeit der Entscheidungen zu überprüfen und sicherzustellen, dass auch wirklich alle Schwachstellen in den Prozess eingebracht und nicht von einzelnen Behörden zurückgehalten worden sind. Die einzige Ausnahme hierbei: Schwachstellen, die der nationalen Cybersicherheitsbehörde unter Auflage der Weitergabe an den Hersteller von Forscher:innen und Firmen mitgeteilt wurden. Diese müssen selbstverständlich direkt mit dem Hersteller kommuniziert werden. Das ist notwendig, um die Reputation dieser Behörde zu schützen. Zusätzlich zur parlamentarischen Kontrolle sind öffentlich zugängliche Transparenzberichte notwendig, damit eine unabhängige wissenschaftliche Beurteilung des Umgangs mit Schwachstellen gegeben ist.

Wie die organisatorischen Rahmenbedingungen und Abläufe sowie die technischen Kriterien für einen solchen Prozess im Detail aussehen können, wird in der SNV-Studie Schwachstellen-Management für mehr Sicherheit analysiert.

0 Kommentare - Diskutieren Sie mit!
Bitte melden Sie sich zunächst an, um die Kommentarfunktion nutzen zu können.