Der richtige Umgang mit Schwachstellen in Hard- und Software ist ein Thema, das sowohl Regierungen, die IT-Sicherheitsforschung, Unternehmen und Institutionen als auch zivilgesellschaftliche Organisationen seit Jahren bewegt – auch in Deutschland. Es ist nur konsequent, dass sich die neue Bundesregierung des Themas annehmen will und es sich sogar in den Koalitionsvertrag geschrieben hat. Spannend ist hier vor allem der avisierte Umgang mit bisher unbekannten Schwachstellen durch Strafverfolgungsbehörden, Nachrichtendienste und das Militär.
Schwachstellenmanagement ist kein monolithisches Thema. Zum einen ist zu unterscheiden zwischen dem Umgang mit Herstellern oder Maintainer bereits bekannter Schwachstellen, so genannten n-days. Und andererseits Herstellern oder Maintainer unbekannter Schwachstellen, so genannten 0-days. Letztere heißen so, weil die Hersteller und Maintainer 0 Tage Zeit hatten, Patches und Mitigationsmaßnahmen bereitzustellen.
Aber auch für den verantwortungsbewussten Umgang mit Schwachstellen gibt es verschiedene Instrumente für unterschiedliche Anwendungsfälle und Akteure. Diese reichen vom Patchmanagement über Bug Bounty Programme bis hin zu Coordinated Vulnerability Disclosure Prozessen (CVD). Gerade im Bereich des staatlichen Umgangs mit unbekannten Schwachstellen gibt es ein weiteres Policy-Werkzeug, das durch den Koalitionsvertrag ins Zentrum gerückt wird: der Government Disclosure Decision Process (GDDP).
Der Government Disclosure Decision Prozess
Government Disclosure Decision Prozesse (GDDP) sollen Behörden eine verpflichtende Leitlinie geben, wie sie ressortübergreifend (whole-of-government) mit unbekannten Schwachstellen umgehen, die durch Forschung oder Ankauf in ihren Besitz gelangen. Denn: weil es für unbekannte Schwachstellen keine Patches oder Mitigationsmaßnahmen gibt, können sie von böswilligen Akteuren, wie Kriminellen und ausländischen Nachrichtendiensten, ausgenutzt werden, die damit beträchtliche Schäden bei Staat, Wirtschaft und Gesellschaft anrichten. Dieses Risiko muss der Staat mit dem Interesse der eigenen Sicherheitsbehörden am Offenhalten und Ausnutzen der Schwachstellen in Einklang bringen.
Es gibt hierbei unterschiedliche Vorgehensweisen. Der Ansatz, der unter anderem von der US-amerikanischen Regierung befürwortet wird, ist das gemeinsame Abwägen und Beurteilen dieser Schwachstellen, der Vulnerabilities Equities Process (VEP). Am Ende dieses Prozesses steht dann entweder ein Zurückhalten der Schwachstelle zur Ausnutzung durch Sicherheitsbehörden für einen bestimmten Zeitraum oder das Weiterleiten an Hersteller und Maintainer in einem CVD-Prozess zur Behebung der Schwachstelle. Eine andere Herangehensweise ist es, alle Behörden generell und ohne Ausnahme zu verpflichten, jede entdeckte oder beschaffte Schwachstelle umgehend an Hersteller und Maintainer zu melden, quasi eine verantwortungsvolle staatliche Offenlegung.
Das kann zum Beispiel über die nationale Cybersicherheitsbehörde, in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI), als Single-Point-of-Contact und Koordinator für den CVD-Prozess vorgenommen werden. Eine weitere Herangehensweise ist das Schwachstellen-Nicht-Management. Jede Behörde macht mit unbekannten Schwachstellen, was sie will und was ihre Rechtsgrundlage zulässt. Außer der jeweiligen behördlichen Rechtsgrundlage gibt es keine Transparenz oder behördenübergreifende Koordinierung. Das ist kein erstrebenswerter Zustand um die nationale Sicherheit zu stärken.
Schwachstellenmanagement im Koalitionsvertrag
Aktuell wird in Deutschland vor allem das Schwachstellen-Nicht-Management praktiziert. Es fehlt bis heute an einem „verantwortungsvollen Umgang mit Schwachstellen [...] über bereits vorhandene interne Behördenvorgaben hinaus”. Einen kleinen Lichtblick bildet lediglich §4 im BSI-Gesetz. Dort heißt es:
„Werden anderen Bundesbehörden [für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik erforderlichen Informationen, insbesondere zu Sicherheitslücken, Schadprogrammen, erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik bekannt, die für die Erfüllung von Aufgaben oder die Sicherheit der Informationstechnik anderer Behörden von Bedeutung sind, unterrichten diese ab dem 1. Januar 2010 das Bundesamt hierüber unverzüglich, soweit andere Vorschriften dem nicht entgegenstehen”
Der letzte Halbsatz und die Begrenzung auf Bundesbehörden schränkt die rechtliche Vorgabe erheblich ein. Ergänzt wird die Einschränkung weiterführend direkt im folgenden Absatz, indem es unter anderem heißt:
„Ausgenommen von den Unterrichtungspflichten [...] sind Informationen, die aufgrund von Regelungen zum Geheimschutz oder Vereinbarungen mit Dritten nicht weitergegeben werden dürfen [...]”
Hinzu kommt, dass es über diesen Unterrichtungsprozess keinerlei Transparenz gibt. Es ist unklar, ob, wie viele und welche Schwachstellen auf dieser Grundlage dem BSI gemeldet worden sind. Interessanter wäre aber auch, mit welcher Begründung diejenigen Schwachstellen, die dem BSI nicht von den Bundesbehörden gemeldet worden sind, zurückgehalten werden.
Die neue Bundesregierung möchte diesen Zustand des Schwachstellen-Nicht-Managements zurecht ändern. Im Koalitionsvertrag heißt es hierzu auf Seite 109:
„Der Staat wird daher keine Sicherheitslücken ankaufen oder offenhalten, sondern sich in einem Schwachstellenmanagement unter Federführung eines unabhängigeren Bundesamtes für Sicherheit in der Informationstechnik immer um die schnellstmögliche Schließung bemühen”
Aus dieser Formulierung ist ganz klar zu erkennen, dass die Ampel-Regierung den Ansatz der verantwortungsvollen staatlichen Offenlegung verfolgt. Ein Ansatz, der zumindest in der Theorie die höchstmögliche IT-Sicherheit für Deutschland garantiert. Der Teufel steckt aber, wie so oft, im Detail. Drei Herausforderungen muss die zukünftige Bundesregierung adressieren.
Erstens: Wie motiviert man die Strafverfolgungsbehörden, Nachrichtendienste und das Militär dazu, ihre Schwachstellen zur Offenlegung an das BSI zu übermitteln, wenn sie diese – nach eigenem Dafürhalten – eigentlich zum Durchführen ihrer rechtlich-verbrieften Aufgaben brauchen können?
Zweitens: Dürfen Sicherheitsbehörden die Schwachstellen ausnutzen, während sie sich um deren Schließung bemühen? Und verbunden damit: wie und auf welcher rechtlichen Grundlage wird „schnellstmöglich” operationalisiert, vor allem gegenüber kooperationsunwilligen oder -unfähigen Herstellern und Maintainern?
Drittens: Wie geht der Staat mit unbekannten Sicherheitslücken um, die die Behörden als Teil von Produkten und Dienstleistungen erwerben, oder wie es im oben genannten Auszug aus dem BSI-Gesetz heißt: die aufgrund von Vereinbarungen mit Dritten nicht weitergegeben werden dürfen? Verträge mit entsprechenden Unternehmen werden es den Behörden nicht erlauben, diese Schwachstellen in einen GDDP- oder CVD-Prozess einzubringen. Beispiele für entsprechende Produkte die in Deutschland bereits im Einsatz waren, sind unter anderem die Pegasus-Überwachungssoftware und Cellebrite-Forensikwerkzeuge.
Widerspruch mit der Cybersicherheitsstrategie
Die genannten Herausforderungen zeigen, wem der Ansatz der verantwortungsvollen staatlichen Offenlegung vermutlich wenig Freude bereiten wird: den Sicherheitsbehörden. Um diesen entgegenzukommen, hatte die Merkel-IV-Regierung bis zur Wahl versucht, den VEP zu operationalisieren. Sie scheiterte aber an der ressortübergreifenden Abstimmung. Das ist nicht verwunderlich, da hier unterschiedliche Interessen aufeinandertreffen und entsprechende Abwägungsprozesse lange dauern. Damit dieser Prozess nicht in Vergessenheit gerät, hatte die Bundesregierung ihn in der Cybersicherheitsstrategie für Deutschland verankert.
Die Aussage in der Cybersicherheitsstrategie, einen VEP implementieren zu wollen, steht jetzt in direktem Widerspruch zum Ansatz der verantwortungsvollen staatlichen Offenlegung im Koalitionsvertrag. Nicht ohne Grund wurde in der Anhörung des Nationalen Cyber-Sicherheitsrats darauf hingewiesen, dass eine Verabschiedung der Strategie kurz vor der Wahl keinen Sinn macht.
Ausblick
Die neue Bundesregierung wird beim Schwachstellenmanagement eine Entscheidung treffen müssen: entweder ignoriert sie die aktuell-gültige Cybersicherheitsstrategie oder den Koalitionsvertrag. In jedem Fall muss der Status Quo, das de facto Schwachstellen-Nicht-Management, so schnell wie möglich beendet werden. Nur so kann die Sicherheit in Deutschland – und sogar weltweit – erhöht werden. Der GDDP muss auf eine nuancierte Rechtsgrundlage gestellt werden, damit der Prozess von den beteiligten Parteien nicht umgangen werden kann. Das bedeutet allerdings dann auch, sich mit Grenzfällen wie der Bedeutung für die Beschaffung von Produkten und Dienstleistungen genau auseinanderzusetzen.
Gut zu wissen- Ein umfassender Überblick über die verschiedenen Aspekte von Coordinated Vulnerability Disclosure mit mehreren beteiligten Akteuren gefällig? Das Forum of Incident Response and Security Teams (FIRST) bietet hierzu eine gute Handreichung: Guidelines and Practices for Multi-Party Vulnerability Coordination and Disclosure.
- Sie betreiben ein (kleines oder mittelständisches) Unternehmen und wollen einen Coordinated Vulnerability Disclosure Prozess einführen? Lesen Sie sich die anwendungsorientierte Masterarbeit von Tassilo Thieme durch: Heureka! Von der Schwachstellenfindung bis zur Veröffentlichung: Entwicklung eines Coordinated Vulnerability Disclosure Prozesses für kleine und mittelständische IT-Unternehmen.
- Wie staatliche Institutionen eine Vulnerability Disclosure Policy implementieren können? Die Bundeswehr hat es vorgemacht: „Liebe Hacker, hiermit laden wir Sie herzlich ein…“.
- Sie sind daran interessiert, wie ein behördenübergreifender Government Disclosure Decision Prozess im Detail aussehen könnte und welche Abwägungen dabei getroffen werden müssen? Lesen Sie sich die Studie der Stiftung Neue Verantwortung durch: Schwachstellen-Management für mehr Sicherheit: Wie der Staat den Umgang mit Zero-Day-Schwachstellen regeln sollte.
- Wollen Sie mehr über Bug Bounty Programme lernen? Dann gibt es niemanden besseres als Katie Moussouris, um es sich erklären zu lassen: The do’s and don’ts of bug bounty programs with Katie Moussouris.
- Sie haben eine bisher unbekannte Schwachstelle gefunden und wollen sie an Hersteller und Maintainer melden, sind sich aber nicht sicher, ob sie dann von Rechtswegen Probleme bekommen? Schalten Sie das Bundesamt für Sicherheit in der Informationstechnik dazwischen: Onlineformular für Schwachstellen.
Sven Herpig ist Leiter für Internationale Cybersicherheitspolitik bei der Stiftung Neue Verantwortung,
In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Bisher erschienen:
Annegret Bendiek & Matthias Schulze: EU-Cyberdiplomatie mit Zähnen versehen
Sven Herpig: Digitalbehörde: Nur mit Sicherheit!
