Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Martin Holland 161

Zero Days: Bundesregierung prüft das Zurückhalten von Sicherheitslücken

Zero Days: Bundesregierung prüft Zurückhaltung von Sicherheitslücken

Noch hat die Bundesregierung keine abgestimmte Einstellung zum Umgang mit Zero-Day-Exploits, doch vorbereitet wird laut einem Bericht ein Verfahren, das eine Zurückhaltung vorsieht, wenn Geheimdienste das wünschen. Das Auswärtige Amt hatte anderes vor.

Die Bundesregierung plant angeblich, das Wissen über Zero-Day-Exploits nicht zwangsläufig mit den betroffenen Unternehmen zu teilen. Stattdessen wird ein Verfahren vorbereitet, in dem für solche Lücken im Einzelfall geprüft wird, wie gefährlich sie sind beziehungsweise wie hilfreich sie für Geheimdienste und die Bundeswehr wären. Das berichtet Zeit Online anlässlich einer Antwort des Innenministeriums auf eine Anfrage der SPD-Bundestagsabgeordneten Saskia Esken zum Umgang mit Zero-Day-Lücken. Darin heißt es demnach, mit der Problematik setze sich das Ministerium gegenwärtig intensiv auseinander, das solle in einen noch zu konkretisierenden Prozess münden. Damit ist dem Bericht zufolge das Verfahren gemeint, das in den USA als "Vulnerabilities Equities Process" (VEP) beispielsweise für die NSA gilt.

Anzeige

Der VEP kam in den USA unter anderem zum Einsatz, als die Bundespolizei FBI Informationen über entdeckte Schwachstellen in älteren iOS- und OS X-Versionen an Apple übermittelte. Das heißt, die Regierung entschied, dass es nicht mehr wichtiger erschien, diese Sicherheitslücken geheimzuhalten, als den Hersteller zu informieren und damit letztlich die Nutzer zu schützen. Das ist also weder ein Nutzungsverbot noch eine Garantie dafür, dass der Wunsch von Nutzern nach sicheren Produkten wichtiger genommen wird als die Interessen der Geheimdienste. Trotzdem will sich die Bundesregierung an genau diesem Prozess ein Vorbild nehmen, wie Zeit Online nach eigenen Angaben nun von ungenannten Quellen erfahren hat. Die Prüfung könnte demnach die neue Behörde Zitis übernehmen.

Zero-Day-Exploits sind Sicherheitslücken in Produkten, die deren Hersteller unbekannt sind und für die also keine Patches bereit gestellt werden können. Werden sie nicht geschlossen, stehen Nutzer dem meist hilflos gegenüber, weswegen ihre Ausnutzung durch staatliche Stellen besonders kritisch gesehen wird. Sollte es tatsächlich dazu kommen, dass sich die Bundesregierung offen hält, solche Lücken geheimzuhalten, würde das auch dem Ansinnen des Auswärtigen Amtes zuwiderlaufen. Das setzt sich international dafür ein, Zero Days zu ächten. Wenn sich Behörden – etwa für den Staatstrojaner – an der Jagd auf solche Lücken beteiligen, heizen sie damit auch einen so schon florierenden Markt unter Kriminellen weiter an. (mho)

161 Kommentare

Anzeige
  1. IT für Sicherheitsbehörden: Schwachstellen kann Zitis auch kaufen

    Staatstrojaner Bundestrojaner

    Zur Eröffnung der Zentralen Stelle für Informationstechnik im Sicherheitsbereich erteilte der Innenminister der Datenschutzbeauftragten eine Absage. Zitis-Chef Karl hatte vor kurzem betont, keine Schwachstellen auf Grau- oder Schwarzmärkten einzukaufen.

  2. Sicherheitsupdates: Zero-Day-Lücke in Firefox und Tor-Browser geschlossen

    Sicherheitsupdates: Zero-Day-Lücke in Firefox und Tor-Browser geschlossen

    Wer Firefox, Firefox ESR oder den Tor Browser einsetzt, sollte sicherstellen, dass die aktuellen abgesicherten Versionen installiert sind: Derzeit nutzen Angreifer aktiv eine kritische Sicherheitslücke aus.

  3. Im Mittel 7 Jahre: Zero-Day-Lücken leben länger als erwartet

    Im Mittel 7 Jahre: Zero-Day-Lücken leben länger als erwartet

    Wer dachte, die meisten Zero-Day-Lücken werden schnell gefunden, der irrt. Diese fiesesten der Sicherheitslücken, die ausgenutzt werden, bevor sie allgemein bekannt sind, kommen einer neuen Studie nach oft jahrelang zum Einsatz.

  4. Microsoft-Patchday schließt FinFisher-Zero-Day und große Bluetooth-Lücke

    Microsoft-Patchday schließt FinFisher-Zero-Day und große Bluetooth-Lücke

    Auch im September schließt Microsoft wieder etliche Sicherheitslücken in Windows. Die Patches dürften bereits bei den meisten Nutzern angekommen sein. Zwei Lücken stechen dieses Mal besonders heraus.

  1. Vom Leben und Sterben der 0days

    Vom Leben und Sterben der 0days

    Viele diskutieren über Zero-Day-Exploits, doch die wenigsten haben je ein lebendiges Exemplar gesehen. Zwei interessante Studien bringen überraschende Erkenntnisse zur Lebenserwartung dieser gefährlichen Spezies.

  2. Matroschka-Wahrheit

    Whistleblower haben zum Thema Stuxnet ausgepackt. Kennen wir damit die ganze Wahrheit? Wohl kaum!

  3. WikiLeaks stellt CIA wegen umfangreicher Hackprogramme an den Pranger

    Nach der NSA ist die CIA dran, womit die politisch motivierte Kritik an den Praktiken der russischen oder chinesischen Geheimdienste ausgehebelt wird

  1. Mobilfunkanbieter: Nachfrage bei iPhone 8 "kraftlos"

    iPhone 8

    Spekulationen über eine Halbierung der iPhone-8-Produktion haben Apples Aktienkurs am Donnerstag nach unten gezogen. Ein großer Mobilfunkanbieter bezeichnete die Nachfrage des neuen Modells als “kraftlos”.

  2. Künstliche Intelligenz: AlphaGo Zero übertrumpft AlphaGo ohne menschliches Vorwissen

    Künstliche Intelligenz: AlphaGo Zero übertrumpft AlphaGo ohne menschliches Vorwissen

    Im asiatischen Strategiespiel Go hat das Programm AlphaGo der Google-Tochter DeepMind in diesem Jahr den stärksten menschlichen Profispieler besiegt. Eine neue Version hat das Spiel jetzt ohne menschliches Vorwissen gelernt und spielt noch stärker.

Anzeige