So sollte Deutschland mit Schwachstellen in der IT umgehen

Die Prozessorbasierten Schwachstellen Spectre und Meltodwn haben wieder einmal gezeigt, wie schnell eine riesige Anzahl von Rechnern betroffen sein kann. In diesem Fall ist fast jeder im Einsatz befindliche Rechner betroffen. Doch nicht alle finden das Schließen von Sicherheitslücken gut - Geheimdienste nutzen diese sehr gern für Ihre Zwecke aus.

Meltdown und Spectre

Diese beiden Begriffe sind derzeit in aller Munde, dabei wird eine 22 Jahre alte Funktion in Prozessoren ausgenutzt, um ohne Einwillgung und Wissen des Computerbesitzers an sensible Daten heranzukommen. Da diese Sicherheitslücke schon so alt ist, ist praktisch jeder Computer davon betroffen. Und mit Computer meinen wir nicht nur Desktops, Server und Laptops - auch Mobilgeräte wie etwa Smartphones oder Tablets sind davon betroffen.

Was sollte Deutschland dagegen tun?

Mehrere Forscherteams im IT Sicherheitsbereich sind praktisch gleichzeitig auf diese Lücke gestoßen - das sollte die Verantwortlichen nachdenklich stimmen. Da es weltweit gut ausgerüstete und finanzierte Nachrichtendienste gibt, ist es durchaus denkbar, dass diese die Lücke ebenfalls schon kennen (oder bereits kannten und somit ausnutzten). Dies ist natürlich nur Spekulation, aber eine solche Lücke, die praktisch keine Spuren hinterlässt, und bei jedem Computer weltweit vorhanden ist, ist so etwas wie ein nachrichtendienstlicher Generalschlüssel zur IT-Welt.

Auch in Deutschland existiert seit kurzem ein Nachrichtendienst, der aktiv nach solchen bzw ähnlichen Sicherheitslücken sucht, um diese ncht etwa zu melden, so dass sie geschlossne werden können, sondern um diese möglichst lange selbst ausnützen zu können. Dieses Zurückhalten von Sicherheitslücken ist allerdings ein zweischneidiges Schwert, denn auch ein anderer Nachrichtendienst kann diese Lücken im Zweifelsfall für ein 'hack back' ausnützen - wogegen der Angegriffene widerum nichts ausrichten kann. Daher fordern andere, sicherheitsorientierte Stellen, wie etwa das BSI, dass alle offenen erkannten Lücken gemeldet werden müssen, um diese zu schließen und somit die Sicherheit zu erhöhen.

Deutschland sollte deshalb ein Pendant zum Vulnerability Equities Process aus den USA schaffen. Bei diesem Prozess entscheidet ein Gremium aus verschiedenen Behörden, welche Lücken an die Hersteller gemeldet werden sollen. So kann keine Behörde allein entscheiden, was den demokratischen prozess stärkt, da das Gremium ebenfalls dem Bundestag Rechenschaft ablegen müsste. Da aber auch in Deutschland Behörden ein 'hack back' einfordern, liegt es nahe, dass Sicherheitslücken zurückgehalten werden, um diese aktiv auszunutzen. Daher sollte uns Meltdown und Spectre eine Warnung sein, da Milliarden von Nutzern von bewusst unsicherer Hard und Software betroffen sind und so ein hohes Risiko tragen.

Fazit:

Für Nachrichtendienste ist es verführerisch, bewusst Sicherheitslücken in IT Systemen auszunutzen. Der Nachteil dabei ist, dass dieselben Lücken auch gegen den Angreifer selbst eingesetzt werden können, was das Risiko erhöht, da sich nur schlecht dagegen geschützt werden kann. Deutschland sollte daher die erkannten Sicherheitslücken nicht für nachrichtendienstliche Ermittlungen nutzen, sondern für ein sicheres Internet eintreten - was letzlich jedem nutzt.

Quelle:
swp-berlin.org

2018-01-19