Schwachstellen-Management für mehr Sicherheit

Zusammenfassung: Wie der Staat den Umgang mit Zero-Day-Schwachstellen regeln sollte

Von der Polizei über nationale Sicherheitsbehörden bis hin zum Militär: In den letzten Jahren nutzen Behörden immer öfter Schwachstellen in Hardware, Software und Online-Diensten, um etwa bei polizeilichen Ermittlungen Verdächtige digital abzuhören und Beweismittel zu sammeln oder um nachrichtendienstliche Operationen durchzuführen. Schwachstellen sind Fehler in Hardware oder Software, die als Einfallstor für diese Hacking-Operationen genutzt werden können. Die Schwachstellen halten Sicherheitsbehörden geheim, um zu verhindern, dass Hersteller sie schließen. Damit stellt die staatliche Nutzung von Schwachstellen, die Herstellern und der Öffentlichkeit unbekannt sind, eine drängende und schwerwiegende sicherheitspolitische Herausforderung dar. Zwar ist die Ausnutzung dieser “Zero-Day” genannten Schwachstellen manchmal die einzige Möglichkeit für Behörden, auf Informationen in modernen, gut gesicherten IT-Systemen oder Netzwerken zuzugreifen. Allerdings stellen offene Schwachstellen in millionenfach genutzter Soft- oder Hardware gleichzeitig ein Sicherheitsrisiko für die gesamte Wirtschaft, Gesellschaft und Behördenlandschaft dar. Denn Cyber-kriminelle Gruppen, ausländische Nachrichtendienste und Militärs können sich ebenfalls dieser Schwachstellen bedienen und sie gegen die Computer und Smartphones der Bürger:innen, IT-Systeme von Firmen und kritischen Infrastrukturen und deutsche Behörden-Netzwerke einsetzen. Dies passierte bereits im Fall der WannaCry-Schadsoftware, die 2017 weltweit IT-Systeme lahmlegte und Millionenschäden verursachte.

Will die Bundesregierung die Nutzung dieser Schwachstellen weiter erlauben und gleichzeitig die allgemeine Sicherheitsbedrohung dieser Praxis minimieren, bedarf es einem rechtlich verbindlichen Prozess für den staatlichen Umgang mit Zero-Day-Schwachstellen. Ziel dieses Prozesses muss es sein, bei der Nutzung einer Schwachstelle die Interessen der Sicherheitsbehörden und das Sicherheitsrisiko für die Allgemeinheit gegeneinander abzuwägen. Dieser Prozess sollte erstens auf dem Prinzip basieren, dass Zero-Day-Schwachstellen nur temporär zurückgehalten werden. Die Offenlegung der Schwachstellen hat immer Vorrang und muss über bereits international etablierte Verfahren in Abstimmung mit Herstellern bzw. Anbietern erfolgen. Zweitens wird ein transparentes, rechtlich verbindliches Verfahren mit Kontrollmechanismen benötigt, in dem darüber entschieden wird, ob Schwachstellen unmittelbar offengelegt oder temporär zur Nutzung durch die Sicherheitsbehörden zurückgehalten werden sollen. Die Effektivität des Verfahrens muss regelmäßig evaluiert werden. Drittens muss die Forschung zum besseren Verständnis vom staatlichen Umgang mit Schwachstellen, zum Beispiel ihrer Beschaffung über spezialisierte Marktplätze oder ihrem adäquaten Schutz vor dem Zugriff Dritter, gefördert werden.

Des staatliche Management-Prozess von Zero-Day-Schwachstellen könnte dabei aus vier Elementen bestehen:
 

1. Institutioneller Aufbau und Workflow
   Beim institutionellen Aufbau ist zu berücksichtigen, dass das Verfahren bei einem staatlichen Akteur angesiedelt sein muss, der ressortübergreifend agieren kann. Stimmberechtigt sollten bei dem Verfahren alle in ihrem Aufgabengebiet betroffenen staatlichen Akteure sein. Dies kann neben den Sicherheitsbehörden und dem Bundesministerium des Innern, für Bau und Heimat auch das Bundesministerium für Wirtschaft und Energie, das Auswärtige Amt oder das Bundesministerium für Justiz und Verbraucherschutz sein. Der Workflow muss in geeigneter Art und Weise die übergeordneten Ziele des Grundrechtsschutzes, dem Schutz der Wirtschaft, der öffentliche Sicherheit und IT-Sicherheit berücksichtigen.
    
2. Beurteilung der Schwachstellen
   Um zu prüfen, ob es einen legitimen und gut belegbaren Grund dafür gibt, eine Schwachstelle nicht unmittelbar offenzulegen, muss die Schwachstelle unter Berücksichtigung verschiedener Aspekte beurteilt werden. Hierzu gehören der Verbreitungsgrad der Schwachstelle, der Schaden, der mit dieser Schwachstelle angerichtet werden kann, die Wahrscheinlichkeit der Zurverfügungstellung von Patches, die Wahrscheinlichkeit das bestehende Patches eingespielt werden, die Existenz von Mitigationsmaßnahmen, wirtschaftliche Interessen, Art und Umfang der betroffenen Produkte, die Wahrscheinlichkeit, ob und welche anderen Akteure die Schwachstelle ebenfalls finden könnten, ob eine Ausnutzung dieser Schwachstelle von Dritten durch deutsche Sicherheitsbehörden erkannt werden könnte und welchen operativen Nutzen die Sicherheitsbehörden und Militärs von der Ausnutzung dieser Schwachstelle hätten.
    
3. Management der Schwachstellen
   Dieser Bereich beschäftigt sich damit, wie eine Schwachstelle von den zuständigen Behörden gehandhabt werden muss, wann die Wiederholung ihrer Beurteilung ansteht, welchen Nutzen Mitigationsmaßnahmen haben und wie die Offenlegung stattfinden muss.
    

4. Schutz- und Kontrollmaßnahmen
   Der gesamte Beurteilungs- und Managementprozess sollte von drei Maßnahmen begleitet werden. Zum einen müssen nicht unmittelbar offengelegte Schwachstellen sicher verwahrt werden, damit Dritte sich nicht unautorisierten Zugriff darauf verschaffen können. Gleichzeitig muss sowohl eine Parlamentarische Kontrolle als auch ein Transparenzbericht etabliert werden, damit Rechtmäßigkeit und Effektivität des Prozesses sichergestellt und überprüft werden können.