Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsUmgang mit Schwachstellen: BSI will Sicherheitslücken sofort schließen lassen
Sicherheitslücken sollen direkt geschlossen werden, sagte die BSI-Präsidentin Claudia Plattner im Interview mit Heise Security. Damit positioniert sich die Behörde im Gesetz zum Bundesinnenministerium, das beim Umgang mit Schwachstellen abwägen will.
Das BSI beschreibt sie in diesem Kontext auch als Ansprechpartner für Sicherheitsforscher, die eine Schwachstelle entdeckt haben, bei dem jeweiligen Dienst aber nicht weiterkommen. Das BSI würde sich in solchen Fällen darum kümmern.
Das ist dann aber nicht das selbe BSI, welches mit der nachstehenden Aussage, im Kontext der BundID und OpenRathaus, am 19.06.2024 um die Ecke geboben gekommen ist:
Eine in der vergangene Woche schon einmal einschlägig auffällige Angreiferin hat ein weiteres Mal ...
Mit "einschlägig auffällige Angreiferin" ist Frau Wittmann gemeint.
Das BSI hat also nicht Sicherheitsforscherin, sondern Angreiferin geschrieben!!
Im weiteren stellt sich Frau Plattner das augenscheinlich zu einfach vor...
Wem will Sie den die Lücken melden, dass die "sofort" geschlossen werden.
Sofort heißt im Rechtssprech grundsätzlich jetzt bzw. unvermittelt.
Microsoft, Cisco, Ivanti, SAP, sofortiges Lücken schließen???
Nach der Logik müssten die jeden Tag Patches liefern.
"Sicherheitsbehörden, die offene Sicherheitslücken benötigen"
Mja, weil ja solche Sicherheitslücken auch nur unseren Sicherheitsorganen bekannt sind. Das Denken auch nur von Wand bis Tapete ist für die eine echte Herausforderung. Immer wieder.
Einerseits hätte man gerne absolute Sicherheit, anderseits sind aber Sicherheitslücken gerne gesehen wenn diese für eigene Zwecke genutzt werden können.
Dieses "Problem" gibt es aber wahrscheinlich überall.
Davon abgesehen wäre ich auch sehr vorsichtig irgendeine Lücke zu melden - im Klartext, ich würde es tunlichst unterlassen.
Einerseits hätte man gerne absolute Sicherheit, anderseits sind aber Sicherheitslücken gerne gesehen wenn diese für eigene Zwecke genutzt werden können.
Das Problem ist ja bereits, das man wie leider längst üblich, nur zum Eigenutz handelt.
Sprich hier: Sicherheitslücken die "andere" ausnutzen könnten sofort ausmerzen, jene die einem selbst dienen, perse belassen / oder gezielt durch Erpressung erst einbauen lassen (Staatstrojanbackdoor).
Allein sich das "Recht" zu nehmen, illegales für eigene Zwecke zu legalisierien untergräbt jegliche Glaubwürdigkeit.
Security Fixes veröffentlichen ist ja auch nur eine Seite der Medaille. Wenn diese nicht konsequent ausgerollt werden - oder ausgerollt werden müssen - , bringen diese Patches aber auch nichts.
Naja entscheidend ist wohl wer mehr Macht in diesem Spiel hat. Ich gehe davon aus, dass das Innenministerium davon am meisten durchsetzen kann. Das BSI steht dabei klar hinter dem BND an, der auch das Innenministerium unterrichtet. Die werden diese Sicherheitslücken brauchen um an Informationen zu gelangen. Und ich schätze die haben Priorität insbesondere durch die Gefährdung durch Russland. Alles andere ist Augenwischerei. Da kann das BSI noch so viel wollen.
Das Problem ist ja bereits, das man wie leider längst üblich, nur zum Eigenutz handelt.
Sprich hier: Sicherheitslücken die "andere" ausnutzen könnten sofort ausmerzen, jene die einem selbst dienen, perse belassen / oder gezielt durch Erpressung erst einbauen lassen (Staatstrojanbackdoor).
Allein sich das "Recht" zu nehmen, illegales für eigene Zwecke zu legalisierien untergräbt jegliche Glaubwürdigkeit.
Mal als Laie gefragt, wie unterscheiden sich Lücken, die andere nutzen können von denen, die einem selbst dienen? Ich dachte immer Lücke sei Lücke und unterscheidet nicht zwischen den Ausnutzern der Lücke.
Interessant, zumal doch gemunkelt wurde, dass genau diese Einstellung Arne Schönbohm zum Verhängnis wurde, so das Faeser ihn unter Verwand längst bekannter, allenfalls mäßig kritischer Russland-Verbindungen, von seinem Posten treten konnte ...
Ergänzung ()
Muntermacher schrieb:
Mal als Laie gefragt, wie unterscheiden sich Lücken, dirme andere nutzen können von denen, die einem selbst dienen? Ich dachte immer Lücke sei Lücke und unterscheidet nicht zwischen den Ausnutzern der Lücke.
Genau das ist das Problem. Es gibt keinen Unterschied. Was das in der Praxis bedeutet, hat man bei EternalBlue/WannaCry gesehen: Eine Gruppe namens "Shadow Brokers" hat Epxloits der NSA "gefunden" und veröffentlicht. Hätte die NSA die nicht als Werkzeug genutzt, sondern an Microsoft gemeldet, dann hätte es WannaCry in der Form nicht gegeben.
Ergänzung ()
tomgit schrieb:
Security Fixes veröffentlichen ist ja auch nur eine Seite der Medaille. Wenn diese nicht konsequent ausgerollt werden - oder ausgerollt werden müssen - , bringen diese Patches aber auch nichts.
Im Prinzip muss man die schon ausrollen, weil man das Versäumnis sonst ggf. teuer bezahlt. (Incident Response, Neuaufbau ganzer Netzwerke, DSGVO-Bußgelder ...)
Mal als Laie gefragt, wie unterscheiden sich Lücken, dirme andere nutzen können von denen, die einem selbst dienen? Ich dachte immer Lücke sei Lücke und unterscheidet nicht zwischen den Ausnutzern der Lücke.
Das ist "eigendlich" auch so, nur heut zu Tage unter all den ideologistischen Egoisten unterscheidet man, je nachdem wie es zum eigenem Vorteil passt.
Da ist es eben so, dass zB ein Verbrechen "gut" ist und man weg schaut, dieses fördert oder es für sich selbst gar legalisiert, andere aber für das selbe jagt und verurteilt, wenn es einem selbst nichts nützt oder schadet.
Ich verstehe die News nicht.
Wen interessiert es was die wollen?
Im Grunde hat doch keine deutsche Behörde oder Institution in den Bereich nennenswerten Einfluss.
Ob für eine Lücke ein Patch kommt bestimmt der Hersteller des Produktes, der ist nur selten deutsch.
Ob eine Lücke an den Hersteller gemeldet wird, liegt ebenfalls fast durchweg außerhalb des Einflussbereiches von BSI und co.
Also genauso wie ein Messerstich in die linkr Niere von einem in die rechte Niere sich unterscheidet. Oder Zensur (im Einzelfall) in westlichen Ländern von östlichen.
Meine Frage war übrigens ironisch gemeint.
Was dieser Vergleich jetzt soll erschließt sich mir nicht. Ist auch beides nicht besonders originell. Meine Antwort war jedenfalls ernst gemeint. Natürlich kann eine Lücke potenziell jeder ausnutzen. Du kannst aber nichts ausnutzen, von dem du nichts weißt. Wissensvorsprung ist also genau der Unterschied, nach dem du fragst. Ganz gleich, ob du das ironisch gemeint hast. Auf deine Frage gibt es nunmal eine einfache Antwort und sie spielt ja auch im Artikel eine Rolle.
Deine Ironie ist aber insofern berechtigt, als dass man aus diesem Grund keine für Ermittlungsbehörden exklusive Lücken bewusst schaffen kann. Auch hier bestünde die Exklusivität nur im Wissen darum, und das wäre eine sehr flüchtige Angelegenheit. Aber das ist hier nicht das Thema.
und was den staatstrojaner angeht. quellen-tkü stützt sich bestimmt nicht in der hauptsache auf irgendwelche random vulnerabilities...
das ist (im erfolgsfall) eher ein customized payload, der dann "im prinzip" wie ein sub7 server agiert.
klar werden bei schwer zugänglichen systemen auch mal sicherheitslücken "in the wild" ausgenutzt.
es ist ja auch ein zweigeteiltes spielchen... erst braucht man irgendwie zugang (lücke oder physikalischer zugriff), um dann im anschluss eine einnistung vorzunehmen - bestenfalls.
alternativ: zielperson wird klandestin zur "selbst-infektion" verleitet.