Schwachstellen-ManagementWie deutsche Behörden mit Zero-Day-Sicherheitslücken umgehen sollten

Wenn deutsche Behörden Sicherheitslücken in IT-Geräten ausnutzen wollen, müssen sie das in einem politischen Prozess begründen und verantworten. Die Stiftung Neue Verantwortung hat einen Vorschlag erarbeitet, wie ein solches Schwachstellen-Management aussehen kann. Eine Ausnutzung muss die Ausnahme bleiben.

Schild Danger
Lieber doch nicht vor Gefahr warnen? CC-BY-NC-ND 2.0 Bill Baker

Die Stiftung Neue Verantwortung ist eine gemeinnützige Denkfabrik in Berlin. Dr. Sven Herpig leitet dort den Bereich Internationale Cyber-Sicherheitspolitik. Er ist erreichbar per E-Mail (OpenPGP) und Twitter.

Dürfen staatliche Stellen ihr Wissen über Schwachstellen in IT-Systemen vor Öffentlichkeit und Herstellern verschweigen? Das Innenministerium erarbeitet derzeit Rahmenbedingungen für ein Schwachstellen-Management. Zusammen mit zwei Dutzend deutschen und amerikanischen Expert:innen hat die Stiftung Neue Verantwortung einen eigenen Vorschlag ausgearbeitet, wie Deutschland mit unbekannten Schwachstellen („Zero-Days“) umgehen sollte.

Verbindlicher Rechtsrahmen notwendig

Es braucht einen verbindlichen Rechtsrahmen für den Umgang von Behörden mit gefundenen, gemieteten oder gekauften Zero-Day-Schwachstellen in Hardware, Software und Online-Dienstleistungen. In unserem Policy-Papier beschreiben wir, wie der Abstimmungsprozess aussehen soll, welche Aspekte zur Beurteilung einer Schwachstelle herangezogen werden müssen und welche Kontrollmechanismen notwendig sind.

Nach unserem Vorschlag treffen sich die beteiligten Akteure jeden Monat, um über den Umgang mit Zero-Days zu entscheiden. Thema sind alle neu bekannt gewordenen Zero-Days, gerade eingesetzte oder schon länger zurückgehaltene. Da sich Rahmenbedingungen verändern können, muss regelmäßig neu entschieden werden. Schwachstellen, die dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Weiterleitung an den Hersteller in „responsible disclosure“-Prozessen mitgeteilt werden, sind davon ausgenommen.

Akteure mit Stimmrecht sind Vertreter:innen aller Behörden, die von Offenlegung oder Zurückhalten der jeweiligen Schwachstelle betroffen sind. Das beinhaltet neben Bundeswehr und Sicherheitsbehörden auch BSI, Auswärtiges Amt, Bundeswirtschaftsministerium und andere. In speziellen Fällen können weitere betroffene Behörden wie das Bundesinstitut für Arzneimittel und Medizinprodukte hinzugezogen werden, man denke zum Beispiel an Herzschrittmacher. Darüber hinaus können unabhängige (technische) Expert:innen ohne Stimmrecht hinzugezogen werden.

Verantwortung im Kanzleramt

Das Verfahren soll im Bundeskanzleramt angesiedelt sein, da es ressortübergreifend ist. Umfasst sind nicht nur Zero-Days des Bundesinnenministeriums, sondern aller Behörden, einschließlich Bundeswehr und Bundesnachrichtendienst. Zudem ist das Schwachstellen-Management ein kritischer Prozess der deutschen Sicherheitspolitik, weshalb die Verantwortung an oberster Stelle der Regierung angesiedelt sein sollte.

Die Vertreter:innen der genannten Behörden diskutieren und fällen ihre Entscheidung anhand verschiedener Indikatoren. Dazu zählen die Verbreitung des von der Schwachstelle betroffenen Produkts, der Schweregrad der Schwachstelle, die Wahrscheinlichkeit, dass Patches effektiv ausgerollt werden können, der operative Nutzen für die Sicherheitsbehörden und vieles mehr.

Wenn eine robuste Minderheit der Akteure – circa 15 Prozent – dafür ist, wird die Schwachstelle unmittelbar gemeldet bzw. offengelegt. Sollten weniger dafür sein, wird die Schwachstelle entweder nur zurückgehalten oder zurückgehalten und zusätzlich schadensmindernde Maßnahmen für spezielle Institutionen ergriffen. Dazu können Behörden, Kritische Infrastrukturen oder Institutionen im besonderen staatlichen Interesse gehören. Neben unmittelbarem Offenlegen und komplettem Zurückhalten kann das eine zusätzliche Option sein.

Wichtig ist, dass unbekannte Schwachstellen nur für eine begrenzte Zeit zurückgehalten werden dürfen und nur, wenn nach ausführlicher Abwägung die Vorteile ganz klar überwiegen. Die Schwelle, dass Behörden Zero-Days geheim halten können, muss hoch sein. Parlamentarische Kontrolle und Transparenzberichte zur unabhängigen Beurteilung der Effektivität dieses Prozesses sind Pflicht. Darüber hinaus ist es zwingend notwendig, dass zurückgehaltene Schwachstellen über den Stand der Technik hinaus vor dem Zugriff Dritter geschützt werden.

Klare Begrenzung und Kontrolle

Es ist höchste Zeit, dass ein solcher Prozess installiert wird. In den letzten Jahren haben Behörden weltweit immer öfter Schwachstellen eingesetzt – für polizeiliche Ermittlungen, geheimdienstliche Aktionen oder militärische Operationen. Neben bereits bekannten Schwachstellen werden dabei auch Zero-Days eingesetzt, vor allem gegen besser gesicherte IT-Systeme.

Damit haben diese Behörden ein Interesse, Zero-Days zu kennen und für sich zu behalten. Die aktuelle Bundesregierung zeigt keinen Willen, den Behörden die Nutzung von unbekannten Schwachstellen zu verbieten. Das zeigt die Schaffung der Zentralen Stelle für IT im Sicherheitsbereich (ZITiS) und Agentur für Innovationen in der Cybersicherheit (ADIC) ebenso wie die Konsolidierung der Bundeswehr im „Cyber- und Informationsraum“ und die Debatte um Aktive Cyber-Abwehr, den „Hack back“.

Dabei hat dieser Weg auch Nachteile: Offene Schwachstellen in millionenfach genutzter Soft- oder Hardware sind ein Sicherheitsrisiko für Wirtschaft, Gesellschaft und Verwaltung. Denn kriminelle Gruppen, ausländische Geheimdienste und Militärs können diese Schwachstellen ebenfalls ausnutzen und gegen die Computer und Smartphones der Bürger:innen, IT-Systeme von Firmen und kritischen Infrastrukturen und Netze der deutschen Behörden einsetzen.

Alle Schwachstellen sofort melden?

Dennoch kann es in einigen Fällen ein berechtigtes Interesse geben, nicht alle unbekannten Schwachstellen sofort offenzulegen. Hauptgrund ist die beschriebene Ausnutzung durch Behörden, um ihre gesetzlich verankerten Aufgaben zu erfüllen. Das beinhaltet auch die Bundeswehr bei Auslandseinsätzen oder den Bundesnachrichtendienst zur Auslandsaufklärung.

Darüber hinaus kann es Fälle geben, in denen eine unmittelbare Offenlegung der Schwachstelle problematisch wäre. Stellen wir uns zum Beispiel vor, dass eine bis dahin unbekannte Schwachstelle von Dritten gegen IT-Systeme der Bundesregierung ausgenutzt wird. In diesem Fall kann es unter Umständen notwendig sein, diese Schwachstelle kurzfristig zurückzuhalten, um eine laufende Operation zur Spionage-Abwehr nicht zu gefährden.

Schließlich gibt es Schwachstellen, die gar nicht so einfach zu schließen sind. Manche Systeme haben keine oder unzureichende Update-Kanäle, man denke an das Internet der Dinge. Andere Lücken befinden sich in Hardware und können nur durch den Austausch der Geräte behoben werden. Manchmal gibt es keine Ansprechpartner:innen mehr, die einen Patch bereitstellen können. In diesen Fällen könnte die Offenlegung von Schwachstellen mehr schaden als nutzen.

Einladung zur Diskussion

Gerade hier auf netzpolitik.org sind starke Stimmen, die in jeder zurückgehaltenen Schwachstelle eine Gefährdung der Sicherheit sehen und eine „zero tolerance for zero-days“-Politik fordern.

Auf der anderen Seite stehen jene, die Deutschland durch solche rigorosen Vorgaben den Kampf um die Vorherrschaft im Cyberraum verlieren sehen. Vollkommen realitätsfern seien solche unnötigen Einschränkungen der Arbeit unserer Geheimdienste und Militärs, heißt es. Diese Kritik kommt bisher nicht einmal von den staatlichen Stellen selbst.

Unser Modell versucht, beide Seiten ausreichend zu berücksichtigen. Es ist als Debattenbeitrag zu verstehen, der auslotet, ob es zwischen einem Freifahrtschein für Behörden und einem Verbot des Zurückhaltens von unbekannten Schwachstellen einen Konsens geben kann.

Eins ist klar: Deutschland braucht einen Prozess, der den Umgang mit Schwachstellen-Management regelt. Andere Staaten haben so etwas bereits, Vorreiter sind ausgerechnet die USA mit ihrem Vulnerabilities Equities Process. Es ist Zeit, dass Deutschland endlich aufholt.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

4 Ergänzungen

  1. Ob das was nutzt? Das FBI hat doch die im San-Bernardino-Fall genutzte Schwachstelle auch nicht Apple gemeldet, soweit ich weiß, und das, obwohl es in den USA eine entsprechende Policy gibt. Siehe dazu auch diesen Artikel der EFF: https://www.eff.org/de/deeplinks/2016/04/will-apple-ever-find-out-how-fbi-hacked-phone-faq
    Das Problem wird sein, daß die Behörden, die dazu verpflichtet wären, das zu melden, die Schwachstellen nicht kennen müssen. Es kann ja auch sein, daß Behörden bei einer Firma Software einkaufen, die Schwachstellen ausnutzen, und die Firma sagt, die Schwachstelle geben wir euch nicht bekannt, denn das fällt unter unser Geschäftsgeheimnis.

  2. Hi Robert,

    um genau das zu verhindern, haben wir in unserer Veröffentlichung folgendes empfohlen (S. 18f):

    3.3.2 Vereinbarungen mit Dritten

    Eine Kritik an dem Schwachstellenmanagement-Prozess der US-Regierung ist, dass er keine Regelung enthält, die Geheimhaltungsvereinbarungen (Non-Disclosure Agreements, NDAs) als Vorbedingungen Dritter ausschließen. Wenn eine Regierung von einem Dritten (einer anderen Regierung, einem privaten Unternehmen, einem:r unabhängigen Sicherheitsforscher:in) eine Schwachstelle beschafft, kann es vorkommen, dass sie verpflichtet wird, ein NDA zu unterschreiben, das sie daran hindert, diese Schwachstelle dem normalen Beurteilungs- und Offenlegungsverfahren zuzuführen. NDAs können so dazu genutzt werden, diesen Prozess weitgehend auszuhebeln, abgesehen von Schwachstellen, die aus der eigenen Forschung und forensischen Arbeit des jeweiligen Staates kommen. Die Beschaffung von Schwachstellen darf aus diesem Grund keinen NDAs unterworfen sein. Das schließt die Beschaffung von Hacking-Werkzeugen und -Dienstleistungen die Zero-Day-Schwachstellen ausnutzen mit ein. Dies könnte dazu führen, dass Regierungen die keine NDAs unterzeichnen, durch eine solche harte Linie benachteiligt sind. Firmen verkaufen ihre Hacking-Werkzeuge und -Dienstleistungen präferiert an Akteure, die NDAs unterzeichnen, da dies ansonsten zur Offenlegung der Schwachstelle führen kann und dadurch wirtschaftlicher Schaden für die Firma entsteht. Besteht ein Nachfragemonopol, können Regierungen, die NDAs im Prinzip ablehnen, jedoch immer noch Schwachstellen bei Dritten einkaufen – möglicherweise zu einem höheren Preis. Um den Druck auf die Verkäufer zu erhöhen, auf NDAs als Vorbedingung zu verzichten, könnten gleich gesinnte Regierungen davon überzeugt werden, NDAs ebenfalls abzulehnen“

    Fußnote:

    Eine Alternative wäre statt eines grundsätzlichen Verbotes, NDAs als absolute Ausnahme und letztes Mittel zuzulassen. Klare Dokumentationspflichten wären dabei notwendig, in denen dargelegt wird, warum man zu diesem letzten Mittel gegriffen und den NDA unterzeichnet hat. Die mit dem Schwachstellen-Management betraute Behörde müsste die entsprechenden Dokumente jährlich prüfen und entscheiden, ob die geltende Regelung noch tragbar ist oder ob weitere Verschärfungen oder ein Verbot der NDAs angezeigt sind.

    1. Die Verletzung der Vertraulichkeit des Wortes ist in Deutschland gemäß § 201 Abs. 1 und Abs. 2 StGB ein Vergehen, welches mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft wird.

      Ich finde Geldstrafen unangemessen, wenn öffentliche Stellen unsere Privatsphäre angreifen. Wer Zerodays zurückhält, sollte ins Gefängnis kommen.

  3. Die Lösung liegt m.E. darin, dass Schwachstellen nicht zwingend veröffentlicht, aber wenigstens sofort dem Betreiber oder Hersteller der Soft/Hardware gemeldet werden MUSS. Dagegen kann doch nun wirklich nichts sprechen, oder? Wenn der Hersteller tatsächlich nicht in der Lage ist, zeitnah ein wirksames patch zu realisieren, dann hält er die Schwachstelle eben eigenverantwortlich zurück, dagegen kann man durchaus wenig machen. Schlimmstenfalls muss das BSI dafür sorgen, dass die betroffene Software aus dem Verkehr gezogen bzw. von deren Anwendung allgemein abgeraten wird.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.