Kolumne : Security by Obscurity: Die nächste Generation

November 2015: Ein Fußballspiel zwischen Deutschland und den Niederlanden in Hannover wird kurz vor dem Anpfiff von dem damaligen Innenminister Thomas de Maizière (CDU) und dem niedersächsischen Innenminister Boris Pistorius (SPD) abgesagt. Der Terroranschlag auf Charlie Hebdo in Paris liegt noch nicht lange zurück und die Sicherheitslage, insbesondere bei Großveranstaltungen, ist sehr angespannt. Auf die Anfrage der Medien nach den Gründen für die Absage des Spiels fallen die vielzitierten Worte des Innenministers, die später symbolisch für die Nicht-Information der Bundesregierung stehen sollten: „Ein Teil dieser Antworten würde die Bevölkerung verunsichern."

„Ja, das ist schon lustig: Kaum eine Antwort könnte mehr verunsichern als diese“, kommentierte damals „Der Spiegel“. Von Nicht-Erklärung oder Nicht-Information als Sicherheitsstrategie der Bundesregierung war die Rede. Vielleicht war der Innenminister nur ehrlich? Vielleicht würde die Information unerwünschte Reaktionen in der Gesellschaft auslösen? Oder Angst? Oder Panik? Ermittlungen behindern? „Wir müssen darauf vertrauen, dass Behörden und Politiker im Rahmen der gesetzlichen Möglichkeiten richtig entscheiden“, beschloss beschwichtigend „Der Spiegel“, „also eine ständige und gute Abwägung treffen zwischen Sicherheit und Freiheit.“

In den darauffolgenden Jahren dürfte das Vertrauen in die Überzeugung, der Staat wisse immer am besten, was für die Bürger richtig sei, allmählich erschüttert worden sein. Was jedoch unvermindert stark anhält, ist die messianische Überzeugung vieler Politikerinnen und Politiker, dass man die Sicherheit – und gleichzeitig die eigene Machtposition – stärkt, indem man Informationen vor der Öffentlichkeit zurückhält. Dies gilt besonders im digitalen Bereich, angefangen mit dem IT-Sicherheitsgesetz, das um das Jahr 2014 vom damaligen Innenminister de Maizière eingeführt wurde. Der Minister wurde jedoch dafür kritisiert, dass das Gesetz nicht das leiste, was es versprach – nämlich mehr IT-Sicherheit für die Bürgerinnen und Bürger. Innenministerin Nancy Faeser (SPD) führte die Arbeit ihrer CDU-Vorgänger fort und mit dem Ziel, Anbieter kritischer Infrastrukturen zu mehr Sicherheit zu verpflichten und zugleich Terrorismus zu bekämpfen oder Spionage durch Drittstaaten zu ahnden, verknüpfte sie das Gesetz mit einer Reihe neuer und erweiterter Befugnisse für Polizei, Verfassungsschutzbehörden und den Bundesnachrichtendienst.

Sicherheitslücken sollen Sicherheit bringen

Die zentralen Aspekte der Diskussion über die Erweiterung der Befugnisse lagen zeitweise auf der Frage der Nicht-Information über Schwachstellen und Sicherheitslücken in IT-Systemen. Im Kern der Argumentation steht die Überlegung, dass Behörden – sobald ihnen solche Informationen zur Verfügung stehen – unbekannte Schwachstellen ausnutzen könnten, um in die IT-Systeme potenzieller Verdächtiger einzudringen und diese gezielt mit zum Beispiel Überwachungs- oder Spionagesoftware zu infizieren. Um einen Staatstrojaner oder eine Messenger-Überwachung möglich zu machen, müssten Lücken in bestehenden Systemen ausgenutzt werden. Statt sie öffentlich zu machen und beheben, sollen die Sicherheitslücken bewusst offengelassen und ihre Existenz zeitweise verschwiegen werden. Der Haken an der Sache: offen gelassene Schwachstellen in IT-Systemen können nicht nur von den „guten Jungs“ genutzt werden. „Böse Jungs“ könnten dies ebenfalls.

Die Diskussion beschränkt sich inzwischen nicht mehr nur auf die Frage, ob man Informationen über Schwachstellen sammelt und zurückhält (um sie selbst zu nutzen) oder sammelt und darüber informiert (damit sie behoben werden und die Nutzer vor Angriffen geschützt werden). Es geht zunehmend auch darum, mit wem und wie man Informationen über Schwachstellen teilen sollte. Wie würde der Modus Operandi aussehen, wenn bestimmte Staaten, Regierungen oder Organisationen diese exklusiven Informationen untereinander austauschen wollten? Welche Bedingungen wären dafür notwendig, und welche Voraussetzungen müssten für solche Partnerschaften oder Austauschplattformen erfüllt werden? Diese Fragen beleuchtet Sven Herpig vorausschauend in seinem aktuellen Paper zum Thema „Vulnerability Disclosure“, das voraussichtlich im Dezember 2024 vom Think Tank Interface veröffentlicht wird.

Bevor jedoch Informationen über Schwachstellen mit anderen geteilt – oder eben nicht geteilt – werden können, müssen sie zunächst gewonnen und gesammelt werden. Entgegen der verbreiteten Meinung geschieht dies nicht hauptsächlich durch staatliche Hacker in Cyber-Behörden oder mithilfe cleverer KI-Tools, sondern, traditionell, durch (freiwillige) Sicherheitsforscher. Gezielt im Rahmen von Bug-Bounty-Programmen, die von staatlichen oder privatwirtschaftlichen Organisationen ausgelobt werden, oder auf andere Arten entdeckte Sicherheitslücken werden entweder den IT-Herstellern, staatlichen Stellen (Responsible Disclosure) oder zunehmend den Medien (Full Disclosure) gemeldet.

Das BSI als zentrale, überlastete Meldestelle

Informationen über Schwachstellen, Schadprogramme, erfolgte oder versuchte Angriffe, Cyberbedrohungen oder Beinahevorfälle sollen, gemäß aktueller Regulierung, in der Europäischen Union in geordnetem Rahmen gemeldet werden. Hinzu kommen die bereits bestehenden, obligatorischen Meldepflichten für IT-Sicherheitsvorfälle, die für bestimmte Gruppen von Unternehmen (wie kritische Infrastrukturen, wichtige und besonders wichtige Einrichtungen, Finanzunternehmen) seit über zwölf Jahren bestehen. Mit der Umsetzung der NIS-2- und CER-Richtlinie sowie der Dora-Verordnung in nationales Recht, kommen auf Unternehmen nicht nur teilweise neue oder geänderte Meldepflichten für Sicherheitsvorfälle, Störungen oder IKT-Vorfälle zu. Es soll nun auch dafür gesorgt werden, dass Schwachstellen-Depots für Cyberbedrohungen gefüllt werden.

Im § 4 Abs. 2 Nr. 1 des BSIG-E (Regierungsentwurf des NIS-2-Umsetzungsegsetzes vom 22.7.2024) wird dem Bundesamt für Sicherheit in der Informationstechnik (BSI) als zentrale Meldestelle für die Sicherheit des Bundes die Aufgabe übertragen, „alle für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik erforderlichen Informationen, insbesondere zu Schwachstellen, Schadprogrammen, erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und der dabei beobachteten Vorgehensweise, zu sammeln und auszuwerten“. Die Einrichtungen der Bundesverwaltung werden über die für sie relevanten Informationen unterrichtet und erhalten Empfehlungen zum Umgang mit den Gefahren.

Soweit die Regelungen den Bund betreffen. Ab hier wird es komplizierter: § 5 BSIG-E regelt den ganzen Rest. Unter anderem wird in Absatz 2 festgelegt, dass das BSI „Informationen zu Schwachstellen, Schadprogrammen, erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und der dabei beobachteten Vorgehensweisen sowie zu Sicherheitsvorfällen, Cyberbedrohungen und Beinahevorfällen“ entgegennimmt und „geeignete Meldemöglichkeiten“ einrichtet.

Dies geschieht in seiner Rolle als nationaler Koordinator für die Zwecke einer koordinierten Offenlegung von Schwachstellen nach Artikel 12 Absatz 1 der NIS-2-Richtlinie (ähnliche Pflichten bspw. im § 40 Abs. 3 Nr. 1 nimmt das BSI als „nationale Verbindungsstelle sowie zentrale Melde- und Anlaufstelle für besonders wichtige Einrichtungen“ wahr). Aufgrund seiner Tätigkeiten als zuständige Behörde, nationales CSIRT und zentrale Anlaufstelle ist das BSI auch dafür verantwortlich, relevante Informationen an nationale und internationale Aufsichtsbehörden, wie Enisa, weiterzugeben.

Die Möglichkeit, Schwachstellen zu melden, gab es zwar schon früher auf der Webseite des BSI, jedoch oft mit dem Hinweis versehen, dass das Bundesamt keine neuen Informationen mehr aufnehmen könne. Man kam mit der Bearbeitung beziehungsweise der Prüfung der eingehenden Meldungen offenbar nicht hinterher.

Viele Empfänger, viele Anlässe, kein anonymer Rückkanal

Meldungen nach § 5 Abs. 2 können anonym erfolgen (diese Option wird für die Meldungen des Bundes nicht explizit geregelt). Entscheidet man sich dagegen, kann man „zum Zeitpunkt der Meldung oder später verlangen, dass seine personenbezogenen Daten nur anonymisiert weitergegeben werden dürfen.“ Dies ist nicht unwesentlich, denn die Möglichkeiten des BSI zur Weitergabe der gemeldeten Daten sind zahlreich – zusätzlich zu den Anfragen seitens „berechtigten Nachfragern“, wie in § 2 Nr. 2 und § 50 BSIG-E definiert. Die Liste potenzieller Empfänger der Daten und der Anlässe ist lang – zum Beispiel Strafverfolgungsbehörden, Polizeien des Bundes und der Länder, das Bundesamt für Verfassungsschutz, Militärischer Abschirmdienst (MAD) oder der Bundesnachrichtendienst.

Gemäß § 8 Abs. 6 und 7 BSIG-E kann das BSI zwecks „Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes“ eine Vielzahl von Anlässen nutzen, um Daten an die Behörden weiterzugeben. Dies schließt die Verfolgung von Straftaten nach den §§ 202a, 202b, 303a oder 303b StGB ein. Weiterhin kann dies zur Abwehr einer Gefahr für die öffentliche Sicherheit, den Bestand oder die Sicherheit des Staates sowie für Leib, Leben oder Freiheit einer Person erfolgen. Weitere Gründe könnten die Unterrichtung über sicherheitsgefährdende oder geheimdienstliche Tätigkeiten für eine fremde Macht sowie über internationale kriminelle, terroristische oder staatliche Angriffe mittels Schadprogrammen oder vergleichbarer schädlicher informationstechnischer Mittel, die die Vertraulichkeit, Integrität oder Verfügbarkeit von IT-Systemen erheblich beeinträchtigen könnten, sein – und einige mehr.

Die Frage, welche Behörden die Empfänger der gemeldeten Informationen zu Schwachstellen, Cyberbedrohungen oder den Daten der Meldenden sind, beantwortet das BSIG-E umfassend. Doch damit die Meldepflichten sinnvoll sind, stellt sich die Frage, ob es nach den Meldungen auch einen Rückkanal von Seiten des Bundesamts oder der zuständigen Behörden an die Meldenden oder die Öffentlichkeit gibt?

Erstens: Eine direkte Möglichkeit, Schwachstellen oder Sicherheitslücken nicht nur anonym, sondern auch anonymisiert zu melden – bei der Meldende anonym bleiben, sich aber später durch Eingabe von nur ihnen bekannten Zugangsdaten über den Bearbeitungsstand informieren können (wie es häufig bei Hinweisgebersystemen möglich ist) – ist im aktuellen Gesetz nicht vorgesehen. Eine Perspektive, die auf die potenziellen Sicherheitsforscher eher wenig motivierend wirken sollte.

Zweitens: Was die Informationspflichten des BSI in Bezug auf die „gemeldeten Informationen“ betrifft, werden diese in § 5 Abs. 3 geregelt. Das Bundesamt soll „Dritte über bekannt gewordene Schwachstellen, Schadprogramme oder erfolgte oder versuchte Angriffe auf die Sicherheit in der Informationstechnik“ informieren, allerdings nur, wenn dies „zur Wahrung ihrer Sicherheitsinteressen erforderlich ist“.

Drittens: Das BSI kann – muss aber nicht – die Öffentlichkeit gemäß § 13 durch Warnungen vor Schwachstellen, anderen Sicherheitsrisiken oder Schadprogrammen informieren.

Viertens: Das BSI betreibt eine Online-Plattform zum Informationsaustausch gemäß § 6, die für wichtige oder besonders wichtige Einrichtungen zugänglich ist. Dazu zählen auch Hersteller, Lieferanten, Dienstleister und „weitere Stellen“. Über die Teilnahmebedingungen und die Zugangsberechtigungen wacht das BSI.

Geheimhaltung der Verfahren als überholte Strategie

Der Umgang mit Schwachstellen und insbesondere die Informationspflichten werden in mehreren Passagen des NIS-2-Umsetzungsgesetzes sowie – leider – in Erläuterungen außerhalb des Gesetzestextes detailliert, etwa in der Begründung zum NIS2UmsuCG in Bezug auf die Ergebnisse der Schwachstellenscans. Eine explizite Pflicht zur Veröffentlichung dieser Informationen besteht jedoch nicht. Die Weitergabe an „betroffene Kreise“, Unternehmen, betroffene Personen oder als Warnung an die Öffentlichkeit ist an verschiedene Vorbedingungen und Zugangsbeschränkungen geknüpft – selbst dann, wenn es um die Information der Bundesverwaltung geht.

Die Tradition der sogenannten „Security by Obscurity“, bei der das Verbergen des Verfahrens als Mittel zum Schutz von Informationen genutzt wird, hat eine lange Geschichte. Sie reicht zurück bis zur schon in der Antike angewandten Steganographie. Doch spätestens seit dem Zweiten Weltkrieg gilt dieser Ansatz als ineffizient. Ganz im Sinne des Leitsatzes des US-amerikanischen Mathematikers Claude Shannon, „The enemy knows the system“: Sicherheitskonzepte, die auf der Geheimhaltung des Verfahrens beruhen, gelten heute als unzureichend.

Wie das US-amerikanische National Institute of Standards and Technology (NIST) konstatiert: „System security should not depend on the secrecy of the implementation or its components.“ Diese Maxime setzte das NIST praktisch um, als es im Jahr 2000 den Wettbewerb um den Advanced Encryption Standard (AES) veranstaltete. Die Stärke des Gewinner-Algorithmus, Rijndael, entwickelt von den europäischen Forschern Joan Daemen und Vincent Rijmen, basierte nicht auf der Geheimhaltung des Verfahrens, sondern auf der Stärke beziehungsweise Länge der geheimen Verschlüsselung.

Während sich die Informationssicherheit heute auf Prinzipien wie „Open Design“ (NIST), Full Disclosure (Kerckhoffs) und Responsible Disclosure stützt, bleibt der deutsche Gesetzgeber in dieser Frage unentschlossen. Zwar legt das NIS-2-Umsetzungsgesetz einige Grundlagen für den Umgang mit Schwachstellen fest, doch scheinen sowohl der Gesetzestext als auch die begleitenden Kommentare diesen Ansatz immer wieder einzuschränken oder sich sogar zu widersprechen. Müssen wir also darauf vertrauen, dass Behörden und Politiker im Rahmen der gesetzlichen Möglichkeiten die richtigen Entscheidungen treffen? Oder brauchen wir mehr Transparenz und Nachvollziehbarkeit bei der Offenlegung von Schwachstellen? Vielleicht sind es diese Antworten, die die Politik verunsichern könnten.

Aleksandra Sowa ist zertifizierte Datenschutzbeauftragte. Sie leitete das Horst-Görtz-Institut für Sicherheit in der Informationstechnik, ist Sachverständige für IT-Sicherheit im Innenausschuss des Bundestages und Mitglied der Grundwertekommission der SPD.

In unserer Kolumnenreihe „Perspektiven“ kommentieren unsere Autor:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit.