Schrift:
Ansicht Home:
Netzwelt

Zero-Day-Exploits

Ein Gesetz mit Sicherheitslücke

Hacker entkriminalisieren, Schwarzmärkte austrocknen: Wollte die Bundesregierung wirklich für mehr IT-Sicherheit sorgen, müsste sie ihren Umgang mit bisher unbekannten Schwachstellen modernisieren.

Silas Stein/DPA

Ein Gastbeitrag von Matthias Schulze
Dienstag, 07.05.2019   12:55 Uhr

Wenn es in der deutschen Cyber-Sicherheitspolitik ein Thema gibt, über das niemand gerne spricht, dann sind es Sicherheitslücken. Fehler im Code von Soft- und Hardware also, über die Angreifer in Systeme eindringen können. Problematisch sind insbesondere sogenannte Zero-Day-Sicherheitslücken. Diese sind dem Softwarehersteller unbekannt, folglich gibt es für die Anwender keine Abwehrmöglichkeit in Form eines Updates.

Auch der deutsche Staat will Zero-Day-Sicherheitslücken verwenden, aus Gründen der nationalen Sicherheit, etwa zur Auslandsspionage, für militärische Cyber-Operationen oder in Form des Staatstrojaners zur Überwachung von Verdächtigen. Der Staat steckt hier in einem Zielkonflikt. Defensiv arbeitende Behörden wie das Bundesamt für die Sicherheit in der Informationstechnik (BSI) wollen alle Sicherheitslücken schließen. Jede geschlossene Sicherheitslücke bedeutet einen Mehrgewinn an Sicherheit für alle, die die gleiche Software nutzen.

Zur Person

Dr. Matthias Schulze ist Politikwissenschaftler bei der Stiftung Wissenschaft und Politik und befasst sich mit Cyber-Sicherheitspolitik. Der Beitrag ist eine Kurzfassung einer neuen SWP-Studie zur "Governance von 0-Day-Schwachstellen in der deutschen Cyber-Sicherheitspolitik".

Geheimdienste aber gehen auch offensiv vor, sie haben deshalb ein gegenteiliges Interesse: Sie wollen das Wissen um offene Zero-Day-Sicherheitslücken geheim halten und daraus Angriffswerkzeuge entwickeln, sogenannte Exploits. Das Dilemma: Jede offene Lücke, die aus Gründen der Cyber-Offensive geheim gehalten und nicht behoben wird, gefährdet die eigene Bevölkerung. Schließlich können auch andere die Lücke finden und ausnutzen.

Nebenwirkungen digitaler Rüstungswettläufe

Gegenwärtig rüsten mehr als hundert Staaten, Dutzende hochqualifizierte Hackergruppen und digitale Rüstungsunternehmen im Bereich offensiver Cyber-Fähigkeiten auf. Daraus entstehen internationale Wechselwirkungen, über die in der deutschen Sicherheitspolitik kaum gesprochen wird. Wenn alle staatlichen und nicht-staatlichen Akteure auch nur eine Hand voll Zero-Days pro Jahr für offensive Zwecke zurückhalten, bedeutet dies in der Summe, dass Tausende Sicherheitslücken nicht mehr geschlossen werden. In der Forschung wird das Ergebnis solcher Rüstungswettläufe als Gefangenendilemma bezeichnet: Das individuelle Bemühen von Staaten um mehr nationale Sicherheit erzeugt auf der globalen Ebene in der Summe das Gegenteil, nämlich mehr Unsicherheit.

Es gibt aber auch noch eine zweite, kaum bedachte Wechselwirkung: Die gestiegene staatliche Nachfrage erhöht die Preise für Zero-Days. Dadurch gibt es mehr Anreize für den Handel auf Schwarzmärkten, egal mit welchen Abnehmern, was wiederum zu mehr kriminellen Geschäftsmodellen und letztlich einem größeren Volumen an Kriminalität führt, unter der Staaten wiederum selbst leiden.

Aus diesen Gründen müssen Staaten die globalen Implikationen ihres Umgangs mit Sicherheitslücken überdenken. Das betrifft etwa die Entwicklung und Verwendung von Zero-Day-Exploits in Einrichtungen wie der Zentralen Stelle für die Informationstechnik im Sicherheitsbereich (ZiTIS). Zunächst ist zu hinterfragen, ob der Einsatz von Zero-Days für staatliche Operationen wirklich so essenziell ist, wie behauptet wird. Die NSA selbst argumentiert, dass offensive Operationen auch ohne den Einsatz von Zero-Days erfolgreich sein können. Wenn Sicherheitslücken aber doch für Spionage genutzt werden müssen, sollten diese einem rechtstaatlichem Kontrollprozess wie etwa in den USA unterzogen werden.

Altes Denken im neuen IT-Sicherheitsgesetz 2.0

Ferner sollte die Bundesregierung eine Politik verfolgen, die auf eine Minimierung von Sicherheitslücken abzielt. Das von Horst Seehofers Bundesinnenministerium geplante IT-Sicherheitsgesetz 2.0 macht dazu nur zurückhaltende Vorschläge: Es sieht eine Meldestelle für Sicherheitslücken beim BSI vor.

Darüber hinaus wäre es aber sinnvoll, dass Unternehmen sogenannte "Vulnerability-Disclosure-Prozesse" entwickeln und damit ethischen Hackern und Schwachstellenforschern ermöglichen, in ihren Systemen gefundene Sicherheitslücken an die Firmen zu melden. Die Unternehmen verpflichten sich damit, diese an sie gemeldeten Lücken schnellstmöglich zu schließen und den Findern eine Belohnung ("bug bounty") auszuzahlen. Dieses "crowdsourcing" von IT-Sicherheit erzeugt einen weißen Schwachstellen-Markt und nutzt die Weisheit der globalen Masse aller Hacker - in Zeiten des IT-Fachkräftemangels eine sinnvolle Option. Auch das Pentagon hat mittlerweile den Wert weißer Märkte erkannt und zahlt regelmäßig solche Preisgelder an ethische Hacker aus.

Dieses neue Denken der IT-Sicherheit ist aber inkompatibel mit den eher antiquierten Vorschlägen des IT-Sicherheitsgesetzes 2.0 zur "unbefugten Nutzung informationstechnischer Systeme" (digitaler Hausfriedensbruch). Durch die pauschale Kriminalisierung aller Arten von Hacking, bösartigem wie ethischem gleichermaßen, werden Anreize geschaffen, dass Hacker gefundene Sicherheitslücken eher auf Schwarzmärkten verkaufen, statt diese den Unternehmen auf den weißen Märkten zu melden. Wenn das Entdecken von Schwachstellen kriminalisiert wird, droht Schwachstellenforschern im schlimmsten Fall eine Anklage durch das betroffene Unternehmen. Ethisches Hacking sollte, wie etwa in den Niederlanden oder Estland, unter bestimmten Bedingungen entkriminalisiert werden.

Drittens muss die deutsche Cyber-Sicherheitspolitik Marktdynamiken und Rückkopplungseffekte besser bedenken. In der Forschung gibt es Überlegungen dazu, wie Schwarzmärkte ausgetrocknet werden können. Wirtschaftlich starke Staaten könnten den begrenzten Markt für Zero-Day-Sicherheitslücken leerkaufen und diese dann an die Hersteller melden - eine Idee, die seit Jahren debattiert wird. Alternativ könnten die zehn größten Softwarefirmen, auf die statistisch betrachtet ein Gros aller Sicherheitslücken zurückgeht, in die Pflicht genommen werden. Der Aufkauf aller Sicherheitslücken durch Unternehmen würde diese weniger als ein Prozent ihrer jährlichen Umsätze kosten.

Letztlich ist zu überlegen, warum es in der Softwareentwicklung, anders als in fast allen anderen Industriezweigen, keine Haftung des Herstellers für die Qualität des eigenen Produktes gibt.

Es ist also höchste Zeit, dass wir über Sicherheitslücken reden.

insgesamt 7 Beiträge
Emmi 07.05.2019
1. Beherrschung der deutschen Sprache vs. Journalismus
Zitat: "Letztlich ist zu überlegen, warum es in der Softwareentwicklung, wie in fast allen anderen Industriezweigen auch, keine Haftung des Herstellers für die Qualität des eigenen Produktes gibt. " Es gibt also in [...]
Zitat: "Letztlich ist zu überlegen, warum es in der Softwareentwicklung, wie in fast allen anderen Industriezweigen auch, keine Haftung des Herstellers für die Qualität des eigenen Produktes gibt. " Es gibt also in fast allen (anderen) Industriezweigen KEINE Haftung des Herstellers für die Qualität des eigenen Produktes!? Hört, hört! Oder meinte man etwa: "Letztlich ist zu überlegen, warum es in der Softwareentwicklung NICHT, im Gegensatz zu fast allen anderen Industriezweigen, eine Haftung des Herstellers für die Qualität des eigenen Produktes gibt. "?
sikasuu 07.05.2019
2. ... warum es in der Softwareentwicklung, wie in fast allen anderen ...
... Industriezweigen auch, keine Haftung des Herstellers für die Qualität des eigenen Produktes gibt. # Gute Frage! Nächste Frage? . Ob das was mit Lobby usw zu tun hat? Es ist absolut unverständlich, das z.B. ein [...]
... Industriezweigen auch, keine Haftung des Herstellers für die Qualität des eigenen Produktes gibt. # Gute Frage! Nächste Frage? . Ob das was mit Lobby usw zu tun hat? Es ist absolut unverständlich, das z.B. ein Autohersteller sogar nach außen für die Fehler seiner Zulieferer haftet (wie die das intern regeln ist andere Baustelle) aber Softwarefirmen das nicht müssen! . Ok. es gibt KEINE fehlerfreie Technik/Software aber Produkthaftung,Gewährleistung .. usw. für alle Produkte auf dem Markt! . Das wäre mal was für die EU in der nächsten Legislatur, aber ich vermute, eine Institution die immer noch Rahmenverträge mit einem OS-Herstellen in Redmond hat & das als "Freien Wettbewerb" bezeichnet wird da wohl "zum Jagen getragen" werden müssen:-( . BTW. Die Exployd-Nummer ließe sich wohl auch nur auf diesem Weg regeln. So lange unsere Politiker nur "Neuland" verstehen & denen ihre "Anschlussverwendung" wichtiger ist als das was sie "öffentlich behaupten&beschwören" bleibt es wohl auch dabei. . Schöner Widerspruch zw. Gouverment X.0 & dem Handeln der Administration:-( . In diesem Sinn xxxx# rm -rf /c: Sikasuu
Nonvaio01 07.05.2019
3. haftung fuer SW, wie soll das gehen?
Welche haftung meinen Sie und in welchem ramen? Gibt der Hersteller eine Tuer eine Einbruchssicherheits garantie? ich denke nicht, das gleiche gilt bei SW. Gibt der hersteller des AUtos eine garantie das man das Auto nicht [...]
Zitat von EmmiZitat: "Letztlich ist zu überlegen, warum es in der Softwareentwicklung, wie in fast allen anderen Industriezweigen auch, keine Haftung des Herstellers für die Qualität des eigenen Produktes gibt. " Es gibt also in fast allen (anderen) Industriezweigen KEINE Haftung des Herstellers für die Qualität des eigenen Produktes!? Hört, hört! Oder meinte man etwa: "Letztlich ist zu überlegen, warum es in der Softwareentwicklung NICHT, im Gegensatz zu fast allen anderen Industriezweigen, eine Haftung des Herstellers für die Qualität des eigenen Produktes gibt. "?
Welche haftung meinen Sie und in welchem ramen? Gibt der Hersteller eine Tuer eine Einbruchssicherheits garantie? ich denke nicht, das gleiche gilt bei SW. Gibt der hersteller des AUtos eine garantie das man das Auto nicht stehlen kann? gegen was soll es denn eine garantie geben?
metastabil 07.05.2019
4.
Die Produkthaftung greift immer, wenn dem Nutzer aufgrund eines fehlerhaften Produktes ein Schaden entsteht. Eine Haustür ist beispielsweise nicht fehlerhaft, nur weil es einem Einbrecher gelang, sie mit mehrfachem Einsatz [...]
Zitat von Nonvaio01Welche haftung meinen Sie und in welchem ramen? Gibt der Hersteller eine Tuer eine Einbruchssicherheits garantie? ich denke nicht, das gleiche gilt bei SW. Gibt der hersteller des AUtos eine garantie das man das Auto nicht stehlen kann? gegen was soll es denn eine garantie geben?
Die Produkthaftung greift immer, wenn dem Nutzer aufgrund eines fehlerhaften Produktes ein Schaden entsteht. Eine Haustür ist beispielsweise nicht fehlerhaft, nur weil es einem Einbrecher gelang, sie mit mehrfachem Einsatz einer Axt einzuschlagen. Eine Haustür wäre aber beispielsweise fehlerhaft, wenn man einen oder mehrere der in sie integrierten Glasbausteine mit etwas Kraftaufwand einfach nach innen drücken kann. Genauso verhält es sich bei Software. Die ist nicht fehlerhaft, nur weil sie nicht jedem möglichen Angriffsvektor widersteht. Sie wäre aber fehlerhaft, wenn es mehr oder weniger triviale Weg gibt, ihre Sicherheitsmaßnahmen zu umgehen.
Nonvaio01 07.05.2019
5. ok verstehe
was ist denn Trival? Ich denke wenn es mein nachbar schaft die SW zu schaedigen oder dort einzudringen. Hacker sind aber profis. Firmen koennen aber nicht in die zukunft schauen. Wenn ich heute ein programm erstelle welches [...]
Zitat von metastabilDie Produkthaftung greift immer, wenn dem Nutzer aufgrund eines fehlerhaften Produktes ein Schaden entsteht. Eine Haustür ist beispielsweise nicht fehlerhaft, nur weil es einem Einbrecher gelang, sie mit mehrfachem Einsatz einer Axt einzuschlagen. Eine Haustür wäre aber beispielsweise fehlerhaft, wenn man einen oder mehrere der in sie integrierten Glasbausteine mit etwas Kraftaufwand einfach nach innen drücken kann. Genauso verhält es sich bei Software. Die ist nicht fehlerhaft, nur weil sie nicht jedem möglichen Angriffsvektor widersteht. Sie wäre aber fehlerhaft, wenn es mehr oder weniger triviale Weg gibt, ihre Sicherheitsmaßnahmen zu umgehen.
was ist denn Trival? Ich denke wenn es mein nachbar schaft die SW zu schaedigen oder dort einzudringen. Hacker sind aber profis. Firmen koennen aber nicht in die zukunft schauen. Wenn ich heute ein programm erstelle welches sicher ist, kann in 2 monatne schon nicht mehr sicher sein. Ich kann aber nur nach dem "ist" zustand programieren. was ist denn mit den elektronischen Key's fuer Autos die man ganz leicht kopieren kann. kann ich da auch mein Auto zurueck geben? Um mal dabei zu bleiben.

Verwandte Artikel

Mehr im Internet

Artikel

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung
TOP