SPIEGEL ONLINE

SPIEGEL ONLINE

07. Mai 2019, 12:55 Uhr

Zero-Day-Exploits

Ein Gesetz mit Sicherheitslücke

Ein Gastbeitrag von Matthias Schulze

Hacker entkriminalisieren, Schwarzmärkte austrocknen: Wollte die Bundesregierung wirklich für mehr IT-Sicherheit sorgen, müsste sie ihren Umgang mit bisher unbekannten Schwachstellen modernisieren.

Wenn es in der deutschen Cyber-Sicherheitspolitik ein Thema gibt, über das niemand gerne spricht, dann sind es Sicherheitslücken. Fehler im Code von Soft- und Hardware also, über die Angreifer in Systeme eindringen können. Problematisch sind insbesondere sogenannte Zero-Day-Sicherheitslücken. Diese sind dem Softwarehersteller unbekannt, folglich gibt es für die Anwender keine Abwehrmöglichkeit in Form eines Updates.

Auch der deutsche Staat will Zero-Day-Sicherheitslücken verwenden, aus Gründen der nationalen Sicherheit, etwa zur Auslandsspionage, für militärische Cyber-Operationen oder in Form des Staatstrojaners zur Überwachung von Verdächtigen. Der Staat steckt hier in einem Zielkonflikt. Defensiv arbeitende Behörden wie das Bundesamt für die Sicherheit in der Informationstechnik (BSI) wollen alle Sicherheitslücken schließen. Jede geschlossene Sicherheitslücke bedeutet einen Mehrgewinn an Sicherheit für alle, die die gleiche Software nutzen.

Geheimdienste aber gehen auch offensiv vor, sie haben deshalb ein gegenteiliges Interesse: Sie wollen das Wissen um offene Zero-Day-Sicherheitslücken geheim halten und daraus Angriffswerkzeuge entwickeln, sogenannte Exploits. Das Dilemma: Jede offene Lücke, die aus Gründen der Cyber-Offensive geheim gehalten und nicht behoben wird, gefährdet die eigene Bevölkerung. Schließlich können auch andere die Lücke finden und ausnutzen.

Nebenwirkungen digitaler Rüstungswettläufe

Gegenwärtig rüsten mehr als hundert Staaten, Dutzende hochqualifizierte Hackergruppen und digitale Rüstungsunternehmen im Bereich offensiver Cyber-Fähigkeiten auf. Daraus entstehen internationale Wechselwirkungen, über die in der deutschen Sicherheitspolitik kaum gesprochen wird. Wenn alle staatlichen und nicht-staatlichen Akteure auch nur eine Hand voll Zero-Days pro Jahr für offensive Zwecke zurückhalten, bedeutet dies in der Summe, dass Tausende Sicherheitslücken nicht mehr geschlossen werden. In der Forschung wird das Ergebnis solcher Rüstungswettläufe als Gefangenendilemma bezeichnet: Das individuelle Bemühen von Staaten um mehr nationale Sicherheit erzeugt auf der globalen Ebene in der Summe das Gegenteil, nämlich mehr Unsicherheit.

Es gibt aber auch noch eine zweite, kaum bedachte Wechselwirkung: Die gestiegene staatliche Nachfrage erhöht die Preise für Zero-Days. Dadurch gibt es mehr Anreize für den Handel auf Schwarzmärkten, egal mit welchen Abnehmern, was wiederum zu mehr kriminellen Geschäftsmodellen und letztlich einem größeren Volumen an Kriminalität führt, unter der Staaten wiederum selbst leiden.

Aus diesen Gründen müssen Staaten die globalen Implikationen ihres Umgangs mit Sicherheitslücken überdenken. Das betrifft etwa die Entwicklung und Verwendung von Zero-Day-Exploits in Einrichtungen wie der Zentralen Stelle für die Informationstechnik im Sicherheitsbereich (ZiTIS). Zunächst ist zu hinterfragen, ob der Einsatz von Zero-Days für staatliche Operationen wirklich so essenziell ist, wie behauptet wird. Die NSA selbst argumentiert, dass offensive Operationen auch ohne den Einsatz von Zero-Days erfolgreich sein können. Wenn Sicherheitslücken aber doch für Spionage genutzt werden müssen, sollten diese einem rechtstaatlichem Kontrollprozess wie etwa in den USA unterzogen werden.

Altes Denken im neuen IT-Sicherheitsgesetz 2.0

Ferner sollte die Bundesregierung eine Politik verfolgen, die auf eine Minimierung von Sicherheitslücken abzielt. Das von Horst Seehofers Bundesinnenministerium geplante IT-Sicherheitsgesetz 2.0 macht dazu nur zurückhaltende Vorschläge: Es sieht eine Meldestelle für Sicherheitslücken beim BSI vor.

Darüber hinaus wäre es aber sinnvoll, dass Unternehmen sogenannte "Vulnerability-Disclosure-Prozesse" entwickeln und damit ethischen Hackern und Schwachstellenforschern ermöglichen, in ihren Systemen gefundene Sicherheitslücken an die Firmen zu melden. Die Unternehmen verpflichten sich damit, diese an sie gemeldeten Lücken schnellstmöglich zu schließen und den Findern eine Belohnung ("bug bounty") auszuzahlen. Dieses "crowdsourcing" von IT-Sicherheit erzeugt einen weißen Schwachstellen-Markt und nutzt die Weisheit der globalen Masse aller Hacker - in Zeiten des IT-Fachkräftemangels eine sinnvolle Option. Auch das Pentagon hat mittlerweile den Wert weißer Märkte erkannt und zahlt regelmäßig solche Preisgelder an ethische Hacker aus.

Dieses neue Denken der IT-Sicherheit ist aber inkompatibel mit den eher antiquierten Vorschlägen des IT-Sicherheitsgesetzes 2.0 zur "unbefugten Nutzung informationstechnischer Systeme" (digitaler Hausfriedensbruch). Durch die pauschale Kriminalisierung aller Arten von Hacking, bösartigem wie ethischem gleichermaßen, werden Anreize geschaffen, dass Hacker gefundene Sicherheitslücken eher auf Schwarzmärkten verkaufen, statt diese den Unternehmen auf den weißen Märkten zu melden. Wenn das Entdecken von Schwachstellen kriminalisiert wird, droht Schwachstellenforschern im schlimmsten Fall eine Anklage durch das betroffene Unternehmen. Ethisches Hacking sollte, wie etwa in den Niederlanden oder Estland, unter bestimmten Bedingungen entkriminalisiert werden.

Drittens muss die deutsche Cyber-Sicherheitspolitik Marktdynamiken und Rückkopplungseffekte besser bedenken. In der Forschung gibt es Überlegungen dazu, wie Schwarzmärkte ausgetrocknet werden können. Wirtschaftlich starke Staaten könnten den begrenzten Markt für Zero-Day-Sicherheitslücken leerkaufen und diese dann an die Hersteller melden - eine Idee, die seit Jahren debattiert wird. Alternativ könnten die zehn größten Softwarefirmen, auf die statistisch betrachtet ein Gros aller Sicherheitslücken zurückgeht, in die Pflicht genommen werden. Der Aufkauf aller Sicherheitslücken durch Unternehmen würde diese weniger als ein Prozent ihrer jährlichen Umsätze kosten.

Letztlich ist zu überlegen, warum es in der Softwareentwicklung, anders als in fast allen anderen Industriezweigen, keine Haftung des Herstellers für die Qualität des eigenen Produktes gibt.

Es ist also höchste Zeit, dass wir über Sicherheitslücken reden.

URL:

Verwandte Artikel:

Mehr im Internet


© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung