News Umgang mit Schwachstellen: BSI will Sicherheitslücken sofort schließen lassen

Das BSI beschreibt sie in diesem Kontext auch als Ansprechpartner für Sicherheitsforscher, die eine Schwachstelle entdeckt haben, bei dem jeweiligen Dienst aber nicht weiterkommen. Das BSI würde sich in solchen Fällen darum kümmern.
Das ist dann aber nicht das selbe BSI, welches mit der nachstehenden Aussage, im Kontext der BundID und OpenRathaus, am 19.06.2024 um die Ecke geboben gekommen ist:
Eine in der vergangene Woche schon einmal einschlägig auffällige Angreiferin hat ein weiteres Mal ...
Mit "einschlägig auffällige Angreiferin" ist Frau Wittmann gemeint.
Das BSI hat also nicht Sicherheitsforscherin, sondern Angreiferin geschrieben!!

Im weiteren stellt sich Frau Plattner das augenscheinlich zu einfach vor...
Wem will Sie den die Lücken melden, dass die "sofort" geschlossen werden.
Sofort heißt im Rechtssprech grundsätzlich jetzt bzw. unvermittelt.

Microsoft, Cisco, Ivanti, SAP, sofortiges Lücken schließen???
Nach der Logik müssten die jeden Tag Patches liefern.
 
  • Gefällt mir
Reaktionen: flo.murr und aragorn92
"Sicherheitsbehörden, die offene Sicherheitslücken benötigen"
Mja, weil ja solche Sicherheitslücken auch nur unseren Sicherheitsorganen bekannt sind. Das Denken auch nur von Wand bis Tapete ist für die eine echte Herausforderung. Immer wieder.
 
  • Gefällt mir
Reaktionen: Bl4cke4gle, trabifant, Termy und 3 andere
Diagnose - dissoziative Identitätsstörung.

Einerseits hätte man gerne absolute Sicherheit, anderseits sind aber Sicherheitslücken gerne gesehen wenn diese für eigene Zwecke genutzt werden können.
Dieses "Problem" gibt es aber wahrscheinlich überall.

Davon abgesehen wäre ich auch sehr vorsichtig irgendeine Lücke zu melden - im Klartext, ich würde es tunlichst unterlassen.
 
  • Gefällt mir
Reaktionen: N85, FR3DI, s1ave77 und 2 andere
Robo32 schrieb:
Diagnose - dissoziative Identitätsstörung.

Einerseits hätte man gerne absolute Sicherheit, anderseits sind aber Sicherheitslücken gerne gesehen wenn diese für eigene Zwecke genutzt werden können.

Du hast entweder den Text nicht gelesen oder verstanden.

Die, die Sicherheit wollen und die, die Sicherheitslücken verwenden möchten sind grundsätzlich verschiedene Personen und Einrichtungen.
 
  • Gefällt mir
Reaktionen: Muntermacher, tomgit, evilhunter und eine weitere Person
Das Problem ist ja bereits, das man wie leider längst üblich, nur zum Eigenutz handelt.
Sprich hier: Sicherheitslücken die "andere" ausnutzen könnten sofort ausmerzen, jene die einem selbst dienen, perse belassen / oder gezielt durch Erpressung erst einbauen lassen (Staatstrojanbackdoor).
Allein sich das "Recht" zu nehmen, illegales für eigene Zwecke zu legalisierien untergräbt jegliche Glaubwürdigkeit.
 
  • Gefällt mir
Reaktionen: aragorn92 und Ganjaware
Security Fixes veröffentlichen ist ja auch nur eine Seite der Medaille. Wenn diese nicht konsequent ausgerollt werden - oder ausgerollt werden müssen - , bringen diese Patches aber auch nichts.
 
Schöne Worte sollen das Volk milde stimmen.
 
„Andere Institutionen haben unter Umständen andere Zielsetzungen…“

Da musste schon echt laut lachen! 😂
 
Damit positioniert sich die Behörde im Gesetz zum Bundesinnenministerium, das beim Umgang mit Schwachstellen abwägen will.
Der Satz kommt mir etwas komisch vor. Ist hier nicht "Gegensatz" gemeint?
 
  • Gefällt mir
Reaktionen: Redundanz, Bl4cke4gle und Thorakon
Naja entscheidend ist wohl wer mehr Macht in diesem Spiel hat. Ich gehe davon aus, dass das Innenministerium davon am meisten durchsetzen kann. Das BSI steht dabei klar hinter dem BND an, der auch das Innenministerium unterrichtet. Die werden diese Sicherheitslücken brauchen um an Informationen zu gelangen. Und ich schätze die haben Priorität insbesondere durch die Gefährdung durch Russland. Alles andere ist Augenwischerei. Da kann das BSI noch so viel wollen.
 
Zuletzt bearbeitet:
MasterWinne schrieb:
Das Problem ist ja bereits, das man wie leider längst üblich, nur zum Eigenutz handelt.
Sprich hier: Sicherheitslücken die "andere" ausnutzen könnten sofort ausmerzen, jene die einem selbst dienen, perse belassen / oder gezielt durch Erpressung erst einbauen lassen (Staatstrojanbackdoor).
Allein sich das "Recht" zu nehmen, illegales für eigene Zwecke zu legalisierien untergräbt jegliche Glaubwürdigkeit.
Mal als Laie gefragt, wie unterscheiden sich Lücken, die andere nutzen können von denen, die einem selbst dienen? Ich dachte immer Lücke sei Lücke und unterscheidet nicht zwischen den Ausnutzern der Lücke.
 
Zuletzt bearbeitet:
Interessant, zumal doch gemunkelt wurde, dass genau diese Einstellung Arne Schönbohm zum Verhängnis wurde, so das Faeser ihn unter Verwand längst bekannter, allenfalls mäßig kritischer Russland-Verbindungen, von seinem Posten treten konnte ...
Ergänzung ()

Muntermacher schrieb:
Mal als Laie gefragt, wie unterscheiden sich Lücken, dirme andere nutzen können von denen, die einem selbst dienen? Ich dachte immer Lücke sei Lücke und unterscheidet nicht zwischen den Ausnutzern der Lücke.
Genau das ist das Problem. Es gibt keinen Unterschied. Was das in der Praxis bedeutet, hat man bei EternalBlue/WannaCry gesehen: Eine Gruppe namens "Shadow Brokers" hat Epxloits der NSA "gefunden" und veröffentlicht. Hätte die NSA die nicht als Werkzeug genutzt, sondern an Microsoft gemeldet, dann hätte es WannaCry in der Form nicht gegeben.
Ergänzung ()

tomgit schrieb:
Security Fixes veröffentlichen ist ja auch nur eine Seite der Medaille. Wenn diese nicht konsequent ausgerollt werden - oder ausgerollt werden müssen - , bringen diese Patches aber auch nichts.
Im Prinzip muss man die schon ausrollen, weil man das Versäumnis sonst ggf. teuer bezahlt. (Incident Response, Neuaufbau ganzer Netzwerke, DSGVO-Bußgelder ...)
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Muntermacher und s1ave77
Muntermacher schrieb:
Mal als Laie gefragt, wie unterscheiden sich Lücken, dirme andere nutzen können von denen, die einem selbst dienen? Ich dachte immer Lücke sei Lücke und unterscheidet nicht zwischen den Ausnutzern der Lücke.
Das ist "eigendlich" auch so, nur heut zu Tage unter all den ideologistischen Egoisten unterscheidet man, je nachdem wie es zum eigenem Vorteil passt.
Da ist es eben so, dass zB ein Verbrechen "gut" ist und man weg schaut, dieses fördert oder es für sich selbst gar legalisiert, andere aber für das selbe jagt und verurteilt, wenn es einem selbst nichts nützt oder schadet.
 
  • Gefällt mir
Reaktionen: Muntermacher
Ich verstehe die News nicht.
Wen interessiert es was die wollen?
Im Grunde hat doch keine deutsche Behörde oder Institution in den Bereich nennenswerten Einfluss.
Ob für eine Lücke ein Patch kommt bestimmt der Hersteller des Produktes, der ist nur selten deutsch.
Ob eine Lücke an den Hersteller gemeldet wird, liegt ebenfalls fast durchweg außerhalb des Einflussbereiches von BSI und co.
 
Was dieser Vergleich jetzt soll erschließt sich mir nicht. Ist auch beides nicht besonders originell. Meine Antwort war jedenfalls ernst gemeint. Natürlich kann eine Lücke potenziell jeder ausnutzen. Du kannst aber nichts ausnutzen, von dem du nichts weißt. Wissensvorsprung ist also genau der Unterschied, nach dem du fragst. Ganz gleich, ob du das ironisch gemeint hast. Auf deine Frage gibt es nunmal eine einfache Antwort und sie spielt ja auch im Artikel eine Rolle.

Deine Ironie ist aber insofern berechtigt, als dass man aus diesem Grund keine für Ermittlungsbehörden exklusive Lücken bewusst schaffen kann. Auch hier bestünde die Exklusivität nur im Wissen darum, und das wäre eine sehr flüchtige Angelegenheit. Aber das ist hier nicht das Thema.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Redundanz
bin da komplett auf plattners seite.

und was den staatstrojaner angeht. quellen-tkü stützt sich bestimmt nicht in der hauptsache auf irgendwelche random vulnerabilities...
das ist (im erfolgsfall) eher ein customized payload, der dann "im prinzip" wie ein sub7 server agiert.

klar werden bei schwer zugänglichen systemen auch mal sicherheitslücken "in the wild" ausgenutzt.
es ist ja auch ein zweigeteiltes spielchen... erst braucht man irgendwie zugang (lücke oder physikalischer zugriff), um dann im anschluss eine einnistung vorzunehmen - bestenfalls.
alternativ: zielperson wird klandestin zur "selbst-infektion" verleitet.
 
Zurück
Oben