Zitis: Kommission könnte künftig Sicherheitslücken bewerten
Einhergehend mit der offiziellen Eröffnung von Zitis stellt sich mehr denn je die Frage, wie deutsche Behörden mit Sicherheitslücken umgehen sollen. Im Gespräch ist nun eine Kommission nach amerikanischem Vorbild, berichtet die Süddeutsche Zeitung.
Das Dilemma ist bekannt: Wenn die Zentrale Stelle für Informationstechnik im Sicherheitsbereich – wie Zitis mit vollem Namen heißt – Technologien wie den Staatstrojaner entwickeln soll, muss die Behörde zwangsweise Sicherheitslücken ausnutzen. Nur so lässt sich die staatliche Malware in die Geräte der Verdächtigen einschleusen, um Kommunikationsinhalte abzufangen, bevor sie verschlüsselt werden. Der Nachteil ist allerdings, dass solche Schwachstellen auch für Kriminelle offen stehen.
Kommission entscheidet über Risiken von Sicherheitslücken
Wann lohnt sich also das Ausnutzen einer Sicherheitslücke? Innerhalb des Innenministeriums überlege man derzeit laut der Süddeutschen Zeitung, eine Kommission für solche Fragen einzurichten. Orientieren soll diese sich offenbar an dem „Vulnerabilities Equities Process“ (VEP), den der ehemalige US-Präsident Barack Obama etabliert hat. Das Ziel: Unabhängige Experten sollen bewerten, ob der Staat eine Sicherheitslücke ausnutzen kann oder das Risiko zu groß ist. In diesem Fall wird dann der jeweilige Hersteller informiert, um die Schwachstelle zu beseitigen.
Die VEP kam etwa ins Gespräch, als es dem FBI im Streit mit Apple doch irgendwann gelungen ist, ohne Hilfe des Herstellers ein iPhone zu entsperren. Das FBI hatte dafür eine Technologie von einer Firma gekauft, Details wurden aber kaum genannt.
Innenministerium im Zentrum des Konflikts
Im Zentrum des Konflikts steht derweil das Innenministerium. Diesem untersteht nicht nur Zitis, sondern auch noch auch noch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Und dessen Aufgabe ist der Schutz der IT-Infrastruktur, das Interesse damit also ziemlich groß, Sicherheitslücken umgehend zu melden.
Wie genau Zitis künftig mit Sicherheitslücken umgehen will, ist also noch offen. Die offiziellen Aussagen lassen Spielraum für Interpretationen. Zitis-Präsident Wilfried Karl sagte etwa noch kurz vor der offiziellen Eröffnung, man wolle keine Zero-Day-Exploits auf Grau- oder Schwarzmärkten kaufen. Kooperationen mit unseriösen Firmen wären ebenso wenig geplant. Als sich Innenminister Thomas de Maizière (CDU) dann einige Tage später zum Thema äußerte, klang das Ganze allerdings schon wieder deutlich vager.
Warnung vor den Gefahren
Konkrete Leitlinien für den Umgang mit Sicherheitslücken sind eine der Aufgaben für die kommende Bundesregierung. Was sich aber nicht ändert, ist die Kritik von Opposition, IT-Sicherheitsforschern und Netzaktivisten, die das Ausnutzen von Sicherheitslücken ablehnen. Zu groß ist demnach die Gefahr, dass auch Kriminelle die Schwachstellen missbrauchen, womit im Endeffekt sämtliche Nutzer gefährdet sind, die ein entsprechendes Produkt nutzen.
Als warnendes Beispiel gilt WannaCry. Die Angreifer nutzten für die Schadsoftware eine Sicherheitslücke aus dem Arsenal der NSA, um Hunderttausende Systeme zu befallen. Allerdings werden solche Angriffe wohl eine Ausnahme bleiben.
So erklärt der Hacker und Sicherheitsforscher Claudio Guarnieri im Interview mit Motherboard, WannaCry sei eine „seltene Ausnahme. Die Hacker konnten ein NSA-Tool erbeuten, also eine Cyberwaffe, in deren Entwicklung Millionen von Euro gesteckt wurde.“ Und solche Exploits sind selbst auf den offenen Markt selten und kosten dementsprechend viel. Guarnieri spricht von bis zu ein oder zwei Millionen Euro. Allein das wäre eine Hemmschwelle für Angreifer.
Im Umkehrschluss bedeutet das allerdings auch: Wenn es massive Sicherheitslücken gibt, die großflächige Angriffe zulassen, können diese vor allem Staaten entwickeln. Und die Leaks von NSA- und CIA-Exploits verdeutlichen, dass sie selbst bei den größten Geheimdiensten der Welt nicht unbedingt sicher sind.
Kein Wunder also, dass Microsofts Chefjustiziar Brad Smith nach WannaCry erklärte, die derzeit größte Bedrohung für die IT-Sicherheit wäre das „völlig unbeabsichtigte“ Zusammenspiel von staatlichen Hackern und organisierter Kriminalität. Daher fordern selbst Wirtschaftsvertreter wie Telekom-Chef Timo Höttges eine Meldepflicht für Sicherheitslücken.