Umgang mit Zero Day-Lücken: In der Bundesregierung gibt es Streit

Daten, Datenvisualisierung, Matix Bildquelle: Free for Commercial Use / Flickr
In der Bundesregierung gibt es ziemlich gegensätzliche Sichtweisen darüber, wie man auf Zero Day-Sicherheitslücken reagieren soll, von denen deutsche Behörden Kenntnis erlangen. Das Außenministerium steht hier gegen den BND und verschiedene Polizeibehörden.
Laut einem Bericht der Wochenzeitung Die Zeit arbeiten Vertreter des Außenministeriums in einer Arbeitsgruppe der UNO mit, die eine weltweite Ächtung von digitalen Waffen, deren Grundlage Zero Day-Exploits sind, zum Ziel hat. Im Interesse aller Nutzer weltweit und zum Wohle ihrer globalen IT-Infrastruktur soll es staatlichen Stellen untersagt werden, Informationen zu solchen Schwachstellen zu horten, um sie später im eigenen Interesse missbrauchen zu können.

Bei den Geheimdiensten und Polizeibehörden, die dem Innenministerium oder dem Bundeskanzleramt unterstellt sind, sieht man die Sache gänzlich anders. Hier will man sehr wohl dafür sorgen, dass es einen eigenen Pool an Zero Days gibt, die zu eigenen Zwecken eingesetzt werden können. Denn nur so lassen sich beispielsweise Staatstrojaner, mit denen man Zielpersonen ausspionieren kann, effektiv verwenden.

Gibt es einen Kompromiss?

Auf höchster Ebene sieht man durchaus eine Möglichkeit, die beiden gegenläufigen Interessen unter einen Hut zu bringen - was allerdings auch nur ein ziemlich fauler Kompromiss wäre. Das Zauberwort heißt hier "Vulnerabilities Equities Process" (VEP). Dieses Verfahren kommt auch in den USA zum Einsatz und stellt eine Art Güterabwägung dar. Eine vermittelnde Stelle soll hier entscheiden, ob eine Schwachstelle so kritisch ist, dass umgehend der Hersteller informiert werden muss, damit nicht zahlreiche Anwender geschädigt werden. Ist dies aber nicht der Fall, könnte sie eine Schwachstelle für den Einsatz mit staatlicher Malware freigeben.

Abgesehen von den grundsätzlichen Problemen, die auch bei einem solchen Verfahren übrig bleiben: Kritiker des VEP bemängeln, dass schon die Zeit der zusätzlichen Prüfung fatale Folgen haben kann. Denn wenn Kriminelle ebenfalls in den Besitz der fraglichen Informationen kommen, kann im Zweifelsfall eine Malware bereits eine Schneise der Verwüstung ins Netz geschlagen haben. Daten, Datenvisualisierung, Matix Daten, Datenvisualisierung, Matix Free for Commercial Use / Flickr
Diese Nachricht empfehlen
Kommentieren10
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Tipp einsenden