IT-Schwachstellenmanagement Eine Meldepflicht hilft allen Bürgern

Bild von Hartmut Pohl

Expertise:

Hartmut Pohl ist Geschäftsführer der IT-Sicherheitsberatung softScheck.

IT-Sicherheitslücken werden nicht nur von nationalen Sicherheitsbehörden, sondern auch von der Organisierten Kriminalität genutzt. Sie unbeachtet zu lassen, ist gefährlich.

Software steckt in (fast) allen modernen Geräten – egal ob Handy, Notebook, Küchenmaschine, Auto, Flugzeug oder Herzschrittmacher und Röntgengerät. Da Menschen die Programmierung dieser Geräte übernehmen, kommt es dabei immer wieder zu Software-Fehlern.

Es kommt immer wieder zu Software-Fehlern, da Menschen die Programmierung elektronischer Geräte übernehmen.

zustimmen
ablehnen
Ergebnis
Debattenübersicht

Software enthält (fast) immer auch Sicherheitslücken. Viele dieser Sicherheitslücken können über das Internet ausgenutzt werden – also von überall auf der Welt. Nationalen Sicherheitsbehörden (auch von EU-Ländern) nutzen sie zur Überwachung, Spionage und Sabotage. Genutzt werden sie allerdings auch von der Organisierten Kriminalität (OK), um zum Beispiel Krankenhäuser inklusive Patientenverwaltung und Gerätesteuerungen lahmzulegen.

Viele Sicherheitslücken - auch in Betriebssystemen - sind den Sicherheitsbehörden bekannt, diese kaufen noch weitere Lücken von Händlern dazu. Tatsächlich gibt es einen weltweiten Markt für unveröffentlichte Sicherheitslücken: Je nach Aufwand bei der Erkennung und Nutzung liegt der Preis dafür im Bereich mehrerer Millionen US-Dollar.

Allerdings veröffentlichen die Behörden die ihnen bekannten Sicherheitslücken aus Eigeninteresse oftmals nicht: Sie nutzen sie selbst auf gesetzlicher Basis für Angriffe auf Verdächtige, lesen darüber deren Daten in Computern, Notebooks, Handys etc. aus, manipulieren diese und überwachen Kommunikationskanäle.

Hersteller beseitigen zwar einige der wichtigsten Sicherheitslücken, aber aus Wirtschaftlichkeitsgründen beileibe nicht alle. Einige Sicherheitslücken kennen sie ja selbst noch gar nicht.

Würden jedoch alle Sicherheitslücken veröffentlicht und vor allem geschlossen, könnten sie auch nicht mehr von der weltweit agierenden Organisierten Kriminalität als Angriffspunkte für Spionage und Manipulation genutzt werden. Die IT-Infrastruktur wäre deutlich sicherer, denn die Zahl erfolgreicher Angriffe auf kritische Infrastruktur und auch auf private Geräte würde deutlich zurückgehen.

Würden alle Sicherheitslücken veröffentlicht und vor allem geschlossen, wäre die IT-Infrastruktur deutlich sicherer.

zustimmen
ablehnen
Ergebnis
Debattenübersicht

Teilweise werden zudem Sicherheitslücken gezielt in Software eingebaut. Über solche Hintertüren (backdoors) und verdeckte Kanäle (covert channels) wird von Behörden und Organisierter Kriminalität auf Daten unberechtigt zugegriffen, wenn ihnen die Schlüssel bekannt sind.

Zusammenfassend hat der Gesetzgeber also zwischen der IT-Sicherheit von Unternehmen, Behörden und Bürgern sowie den Überwachungsaktivitäten seiner Sicherheitsbehörden abzuwägen. Bisher lesen und manipulieren insbesondere Kriminelle in den Computern unbescholtener Bürger, Unternehmen und Behörden wie in einem offenen Buch. Nichts bleibt vertraulich. Das Bundesamt für Sicherheit in der Informationstechnik (BSI), das dem Bundesministerium des Innern nachgeordnet ist, ist dazu aber nicht verpflichtet.

Angriffe, die unveröffentlichte Sicherheitslücken ausnutzen, können nur selten erkannt werden. Der Betroffene weiß meist gar nicht, welche Sicherheitslücken und Hintertüren auf seinen Systemen schlummern. Regelmäßig finden auch Angriffe auf Server von Internetprovidern statt, wo die Angreifer Internetverkehr und Kommunikationsdaten direkt von der Quelle auslesen können. Verfängliche Fotos von sich selbst oder anderen Personen heutzutage auf einem Handy oder Computer zu speichern, ist grob fahrlässig. Nicht nur das Handy selbst ist dank vorhandener Sicherheitslücken völlig unsicher, auch verwendete Apps können Einfallstor für Angriffe sein.

Es ist grob fahrlässig, heutzutage verfängliche Fotos auf einem Handy oder Computer zu speichern.

zustimmen
ablehnen
Ergebnis
Debattenübersicht

Sichereres Internet ist also nur mit systematischer Identifizierung der Sicherheitslücken in Software und Geräten durch eine unabhängige Stelle möglich. Wir brauchen eine gesetzliche Pflicht zur Meldung und Veröffentlichung aller Sicherheitslücken sowie deren zeitnahe Behebung durch die Software-Hersteller. Anwender sollten ausschließlich zugelassene (also aktuell gepatchte) Versionen von Software und IT-Geräten einsetzen können.

0 Kommentare - Diskutieren Sie mit!

Diese Community ist nur während der Arbeitszeiten der Tagesspiegel-Community-Redaktion geöffnet. Sie können täglich von sechs bis 21 Uhr Kommentare schreiben.