Schwachstellen-Management – Der Staat sollte alle IT-Sicherheitslücken schließen. Manche lässt er lieber offen.

schwachstellen-management-–-der-staat-sollte-alle-it-sicherheitslucken-schliesen-manche-lasst-er-lieber-offen.

26-06-20 07:23:00,

Mal angenommen, die Schlösser sämtlicher Diesel-Autos haben eine Schwachstelle, mit denen man die Fahrzeuge unbefugt öffnen und wegfahren kann. Und ein deutscher Beamter erfährt von dem Problem. Muss er die Sicherheitslücke melden und beseitigen lassen, damit Kriminelle auf der ganzen Welt nicht millionenfach Autos stehlen? Oder darf er das geheim halten, weil sein Arbeitgeber vielleicht mal einen Schlüssel für einen Firmenwagen verlieren könnte und dann wäre das ja ganz praktisch?

Das klingt absurd, ist es aber nicht. So gehen deutsche Behörden mit Sicherheitslücken in Hard- und Software um. Das Bundeskriminalamt hat zugegeben, Schwachstellen nicht an Hersteller zu melden, um sie für Hacking-Angriffe ausnutzen zu können. Im schlimmsten Fall überwacht die Polizei einen Drogendealer per Staatstrojaner, während mit der selben Lücke der Bundestag gehackt wird. Dem US-Geheimdienst NSA ist das mit mit der Schadsoftware WannaCry passiert.

Behörde für IT-Sicherheit

In Deutschland ist eine eigene Bundesoberbehörde zuständig für IT-Sicherheit: das Bundesamt für Sicherheit in der Informationstechnik. Das BSI erforscht und erhält Sicherheitslücken und meldet diese an die Hersteller, damit sie geschlossen werden.

In den letzten fünf Jahren hat das BSI von „rund 550 den Herstellern bis dato unbekannte IT-Sicherheitslücken“ erfahren und gemeldet. Das antwortet das Innenministerium auf eine Frage des FDP-Bundestagsabgeordneten Konstantin Kuhle, wir veröffentlichen die Antwort.

Das BSI betont in der Öffentlichkeit, nur für defensive Sicherheit zuständig zu sein. Das ist aber nicht die ganze Wahrheit. Vor fünf Jahren haben wir enthüllt, dass die Bonner Behörde auf Anweisung des Innenministeriums bei der Programmierung des Staatstrojaners geholfen und Quellcode beigesteuert hat. Öffentlich hat das BSI diese Beteiligung abgestritten – das war gelogen.

Behörde und IT-Sicherheit

Im BSI-Gesetz ist geregelt, dass das Bundesamt Informationen über Sicherheitslücken erhält, sowohl von Forschern als auch anderen Behörden, um die Lücken zu melden und zu schließen. Das BSI kann Schwachstellen aber auch an Polizei und Geheimdienste weitergeben, und diese Behörden dürfen die Lücken ausnutzen.

Für diesen Artikel haben wir das BSI erneut gefragt, ob die Behörde schon einmal eine Schwachstelle an Polizei oder Geheimdienste gegeben hat, bevor sie geschlossen wurde. Ein Sprecher hat mit dem selben Standard-Satz wie letztes Mal geantwortet: „Das BSI disktutiert regelmäßig mit den jeweiligen betroffenen Herstellern,

 » Lees verder

%d bloggers liken dit: