Umgang mit Schwachstellen: BSI will Sicherheitslücken sofort schließen lassen
Sicherheitslücken sollen direkt geschlossen werden, sagte die BSI-Präsidentin Claudia Plattner im Interview mit Heise Security. Damit positioniert sich die Behörde im Gesetz zum Bundesinnenministerium, das beim Umgang mit Schwachstellen abwägen will.
Glasklar im BSI
Die Haltung vom BSI sei hingegen glasklar. „Wir haben ganz klar den Anspruch, jede Schwachstelle, von der wir erfahren, (…) der Schließung zuzuführen“, so Plattner. Und das soll auch sofort erfolgen. Das BSI beschreibt sie in diesem Kontext auch als Ansprechpartner für Sicherheitsforscher, die eine Schwachstelle entdeckt haben, bei dem jeweiligen Dienst aber nicht weiterkommen. Das BSI würde sich in solchen Fällen darum kümmern.
Allerdings räumt auch Plattner ein, dass es in den Behörden unterschiedliche Ansichten gibt. „Andere Institutionen haben unter Umständen andere Zielsetzungen und die werden unter Umständen auch solche Themen auch ein Stück weit anders drauf schauen“, sagt die BSI-Chefin.
Gemeint sind offensichtlich Sicherheitsbehörden, die offene Sicherheitslücken benötigen, um etwa den Staatstrojaner einzusetzen. Daher besteht bei diesen der Anspruch, eine Schwachstelle für einen bestimmten Zeitraum – sei es Tage, Wochen oder Monate – offenzuhalten.
Bundesinnenministerium will mehr
Ein Abwägen zwischen IT-Sicherheitsinteressen sowie den „Erfordernissen der Strafverfolgung, der Aufklärung der Nachrichtendienste und der Verteidigung“ ist daher auch die offizielle Linie der Bundesregierung. Das Bundesinnenministerium, das für die Umsetzung zuständig ist, rechtfertigte das zuletzt immer wieder mit der aktuellen Bedrohungslage. Angesichts von Ereignissen wie Russlands Überfall auf die Ukraine sei diese besonders hoch.
Hackbacks sind eine der – äußerst umstrittenen – Maßnahmen, für die sich Innenministerin Nancy Faeser (SPD) immer wieder ausgesprochen hat. Zuletzt verkündete sie im Juni bei der Vorstellung des Verfassungsschutzberichts 2023 die Befugnisse des Bundeskriminalamts (BKA) bei der Cyberabwehr ausweiten zu wollen.
Prävention als wichtigster Bestandteil der IT-Sicherheit
Plattner setzt auch im Bereich aktive Cyberabwehr vor allem auf Prävention. Es sei der „wichtigste Teil“, dass Systeme geschützt sind, erklärt die BSI-Chefin im Interview mit Heise Security. Es gebe aber noch andere Ansatzpunkte. Relevant wäre etwa, die Verbindung zwischen einem infizierten Rechner und dem Command-&-Control-Server zu unterbrechen. Das sollte auch um die Fähigkeit ergänzt werden, die entsprechenden Command-&-Control-Server vom Netz zu nehmen, dafür habe es in der Vergangenheit bereits Beispiele gegeben.
Dennoch müsse man in dem Bereich sehr vorsichtig sein, so Plattner. Hackbacks, die deutlich weitreichender Angriffe auf fremde Server-Infrastrukturen vorsehen, lehnt sie indes ab, das sei nochmals eine „ganz andere Liga“.