Kolumne : Staatliches Schwachstellenmanagement für mehr Sicherheit

Der Koalitionsvertrag der Bundesregierung formuliert eine sehr eindeutige Position zum Thema Schwachstellenmanagement: „Die Ausnutzung von Schwachstellen von IT-Systemen steht in einem hochproblematischen Spannungsverhältnis zur IT-Sicherheit und den Bürgerrechten. Der Staat wird daher keine Sicherheitslücken ankaufen oder offenhalten, sondern sich in einem Schwachstellenmanagement unter Federführung eines unabhängigeren Bundesamtes für Sicherheit in der Informationstechnik immer um die schnellstmögliche Schließung bemühen.”

Mit anderen Worten: Erfährt eine staatliche Stelle von einer Schwachstelle, muss diese an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Das soll sich dann darum kümmern, dass sie möglichst rasch geschlossen wird. Die Formulierung verbietet es den Sicherheitsbehörden nicht, Schwachstellen für ihre Zwecke auszunutzen, aber auch sie müssen Schwachstellen dem BSI melden. Das Verbot, Sicherheitslücken anzukaufen, legt zudem nahe, dass auch der Ankauf kommerzieller Überwachungswerkzeuge, die oft solche Schwachstellen verwenden, in Zukunft verboten sein soll.

Bislang hat die Bundesregierung noch keinen Vorschlag zur Umsetzung dieser Passage im Koalitionsvertrag vorgelegt. Die meisten Cybersicherheitsexperten und auch die Wirtschaft, etwa der Branchenverband Bitkom, stimmen der Einschätzung und Zielsetzung des Koalitionsvertrags zu. Andere warnen, dass der Verzicht auf das Offenhalten von Schwachstellen die Arbeit der Sicherheitsbehörden behindern und dem Staat ein wichtiges Instrument gegen Terrorismus und organisiertes Verbrechen nehmen würde. Was ist von diesen beiden Positionen zu halten, und kann es einen Kompromiss geben?

Ende August 2023 wurde öffentlich bekannt, dass den Strafverfolgungsbehörden ein wichtiger Schlag gegen das Schadsoftware-Netzwerk Qakbot gelungen ist: Ermittler aus den USA, Deutschland und anderen Ländern konnten die in Deutschland befindliche Serverinfrastruktur der Gruppe übernehmen. Der Schaden, den die Gruppe bislang angerichtet hat, wird auf mehrere 100 Millionen Euro geschätzt.

Aktionen wie diese erfordern meist einen aktiven Eingriff in die von den Kriminellen genutzte IT-Infrastruktur. Der Wert solcher Aktionen ist in Expertenkreisen unbestritten. Welche Maßnahmen welcher deutschen Behörde unter welchen Bedingungen erlaubt sein sollen, ist Gegenstand der aktuellen politischen Debatte – wir kommen darauf später zurück. Die gesetzlich am klarsten geregelten Maßnahmen sind die Online-Durchsuchung und die Quellen-TKÜ (Telekommunikationsüberwachung) zur Abwehr von Gefahren des internationalen Terrorismus und zur Aufklärung schwerer Straftaten.

Ersteres bedeutet das verdeckte Durchsuchen einer IT-Infrastruktur, letzteres das Umgehen von Verschlüsselung durch das Abgreifen von Kommunikation beim Sender vor der Ver- beziehungsweise beim Empfänger nach der Entschlüsselung. Laut Bundesamt für Justiz gab es 2021 insgesamt 20 Anordnungen und 9 tatsächlich durchgeführte Online-Durchsuchungen, sowie 35 Anordnungen und 23 tatsächlich durchgeführte Maßnahmen für Quellen-TKÜ.

Beide Maßnahmen erfordern in der Regel, dass Sicherheitsbehörden verdeckt in eine IT-Infrastruktur eindringen, letztlich also ähnlich vorgehen wie Cyberangreifer. Die Sicherheitsbehörden müssen zunächst die IT ihres Ziels auskundschaften und einen dazu passenden Cyberangriff zusammenstellen und austesten. Der Angriff muss meist längere Zeit unbemerkt bleiben, darf keinen Schaden anrichten und nicht außer Kontrolle geraten und zum Beispiel auf andere Infrastrukturen überspringen.

Grundlage für Cyberangriffe sind meist geleakte oder schlecht gewählte Passwörter und Schwachstellen. Beide können im Allgemeinen nur für kurze Zeit genutzt werden, denn Passwörter werden geändert und Schwachstellen gepatcht, und je intensiver man sie nutzt, desto höher ist das Entdeckungsrisiko. Aus diesem Grund wird meist möglichst rasch eine eigene Hintertür eingebaut, die den weiteren Angriff unabhängig vom ersten Zugriff macht.

Dies entspricht dem Vorgehen staatlicher APT-Gruppen, was auch bedeutet, dass die Sicherheitsbehörden letztlich über ähnliche Fähigkeiten und Ressourcen wie diese verfügen müssen. Ransomware-Gruppen und ähnliche Cyberkriminelle haben es im Vergleich dazu sehr viel einfacher: Meist greifen sie kein bestimmtes Ziel an, sondern jeden, bei dem ihr Angriff funktioniert, und für die Kriminellen ist es nicht entscheidend, ob der Angriff immer funktioniert, welchen Schaden er anrichtet und wann er entdeckt wird.

Es steht also außer Frage, dass die Sicherheitsbehörden zumindest in manchen Fällen Schwachstellen brauchen. Offensichtlich ist es für die Sicherheitsbehörden einfacher, wenn sie eine Schwachstelle verwenden können, die der Hersteller noch nicht kennt und deshalb auch nicht patchen kann – zwingend notwendig ist das aber nicht.

Tatsächlich kommen viele Cyberangriffe von Kriminellen ohne Zero-Day-Schwachstellen aus, das heißt sie verwenden nur solche, für die der Hersteller zum Zeitpunkt des Angriffs bereits einen Patch entwickelt hat. Laut einer Studie von Checkpoint verwendeten bis Ende 2022 insgesamt 76 Prozent aller Cyberangriffe Schwachstellen, die 2019 oder früher veröffentlicht wurden. Das funktioniert, weil zwischen dem Bereitstellen eines Patches durch den Hersteller und dem Einspielen durch den Anwender oft sehr viel Zeit vergeht.

Laut einer Studie von Orange Cyberdefense vergehen im Schnitt 184 beziehungsweise 292 Tage, bis ein Anwender eine Schwachstelle der höchsten bzw. der geringsten Kritikalität gepatcht hat. Die Folge: In unseren Untersuchungen der Sicherheit von IT-Infrastrukturen haben wir bislang in jeder offene Schwachstellen gefunden, die für Angriffe ausgenutzt werden könnten. Das schließt auch die Infrastrukturen großer Dax-Konzerne und anderer Organisationen ein, bei denen man davon ausgehen kann, dass sie über sehr viel Kompetenz und Ressourcen für ihre Cybersicherheit verfügen.

Mangelnde Kompetenz?

Die große Verzögerung, mit der Patches eingespielt werden, gilt als eines der größten Probleme der Cybersicherheit. Naiv könnte man denken, der Hauptgrund sei die mangelnde Kompetenz bei den Anwendern. Tatsächlich gibt es aber viele Gründe, warum auch sehr professionelle Organisationen Patches erst spät anwenden. Oft sind Patches fehlerhaft oder haben unerwartete Seiteneffekte. Sinnvollerweise führen Anwender deshalb vor dem Patchen umfangreiche Tests durch. Nicht selten kommen sie zum Schluss, eine Schwachstelle lieber nicht zu schließen, sondern auf andere Weise sicherzustellen, dass ein Cyberangreifer sie nicht ausnutzen kann.

Aber auch das Bereitstellen des Patchen an sich kann ein Problem sein. Durchschnittlich dauert es laut Mandiant zwar nur neun Tage, aber das Spektrum ist sehr groß. Gründe, weshalb manche Patches sehr lange dauern, gibt es viele. Zunächst findet sich nicht für jede Schwachstelle überhaupt jemand, der sich für das Schließen verantwortlich fühlt. Selbst kommerzielle Software wird meist nur für einige Jahre gewartet, manche Hersteller verschwinden vom Markt, und manche Open-Source-Projekte verwaisen irgendwann. Problematisch wird es auch bei Schwachstellen, die auf Fehlern im Entwurf, in einem verwendeten Standard oder in einer von anderen bereitgestellten Komponente beruhen.

Eine ungepatchte Schwachstelle an sich muss für die Nutzer der betroffenen Software noch kein Problem und dementsprechend für die Cyberangreifer noch kein Vorteil sein. Damit eine Schwachstelle ausgenutzt werden kann, muss man sie zuerst „weaponizen”, also einen Exploit dafür entwickeln. Diese Aufgabe ist technisch oft sehr anspruchsvoll, insbesondere wenn, wie beim Einsatz durch Sicherheitsbehörden, ein Exploit fehlerfrei sein muss und keinen Schaden anrichten darf. Wie lange dieser Vorgang dauert, ist schwer abzuschätzen. Bei manchen Schwachstellen dauerte es nur Stunden, bei anderen tauchten die ersten Exploits erst Jahre nach Bekanntwerden der Schwachstelle auf.

Für einen Cyberangriff braucht man im Allgemeinen mehr als nur einen Exploit. Wie aufwändig es ist, einen kompletten Cyberangriff zu entwickeln, der den strengen Anforderungen der Sicherheitsbehörden entspricht, hängt von vielen Faktoren ab. Für staatliche APT-Gruppen und kommerzielle Anbieter von Überwachungssoftware werden meist Zahlen von mehreren hundert Mitarbeitern genannt. Für komplexe Angriffe wie zum Beispiel Stuxnet 2010 oder der Solarwinds-Hack 2020 kann man von mindestens einem Jahr Vorlaufzeit ausgehen.

Was folgt nun aus alledem? Für Sicherheitsbehörden ist es natürlich vorteilhaft, Schwachstellen offenhalten zu können, aber es ist zu vermuten, dass sie in den meisten Fällen nicht darauf angewiesen sind. Wird eine Schwachstelle gemeldet, dann bleibt ein Fenster von durchschnittlich sechs Monaten, um einen Exploit zu entwickeln oder zu kaufen und ihn einzusetzen.

Was aber tun, falls sich herausstellen sollte, dass diese Vermutung nicht zutrifft, das heißt dass das sofortige Melden von Schwachstellen Maßnahmen wie Online-Durchsuchung und Quellen-TKÜ mehr oder weniger unmöglich macht, der Staat auf sie aber nicht verzichten will? Ist dann ein Schwachstellenmanagement vorstellbar, das manche Schwachstellen doch zurückhält, basierend auf einer Abwägung der Vor- und Nachteile der Optionen „melden” und „zurückhalten”?

In den USA wird versucht, genau dies mit Hilfe des sogenannten Vulnerability Equities Process (VEP) zu tun. Dieser VEP wurde 2016 zumindest in groben Zügen veröffentlicht. Die Fragen, die er beantworten muss, sind relativ offensichtlich: Auf der einen Seite steht der erwartete Nutzen für die Sicherheitsbehörden und die Überlegung, inwieweit das Zurückhalten der Schwachstelle für diesen Nutzen zwingend notwendig ist.

Auf der anderen Seite steht das Risiko, dass auch andere – Cyberkriminelle, Geheimdienste anderer Staaten – die offen gehaltene Schwachstelle kennen oder finden und sie für Cyberangriffe gegen die eigenen Bürger, Wirtschaft und Staat nutzen oder sogar schon genutzt haben. Bei eingekauften Schwachstellen dürfte dieses Risiko sehr hoch sein, aber auch wenn eine Schwachstelle selbst entdeckt wurde, ist nicht auszuschließen, dass nicht auch andere sie ebenso entdecken oder sogar schon entdeckt haben. Im Zweifel soll der VEP sich für das Melden entscheiden.

Das größte Problem bei diesem Ansatz ist, dass für die meisten der zu beantwortenden Fragen keine wissenschaftlich sauberen Methoden bekannt sind, sie zu beantworten. Dementsprechend ist zu erwarten, dass sich der Prozess fast immer für das Melden entscheidet. Dies dürfte einer der Gründe sein, weshalb den US-amerikanischen Sicherheitsbehörden nachgesagt wird, sie würden versuchen, den VEP möglichst zu umgehen.

Werden Schwachstellen zurückgehalten, ist es natürlich essentiell, dass diese geheim gehalten und vor unbefugtem Zugriff geschützt werden. Tatsächlich werden aber regelmäßig Hacking-Werkzeuge gestohlen, etwa von NSA, CIA und auch Sicherheitsdienstleistern wie Gamma Group, Hacking Team and Cellebrite.

In Deutschland hat die Regierung bislang noch keinen Prozess formalisiert, der dem US-amerikanischen VEP entspräche. Sollte sich die Bundesregierung entscheiden, von der Position im Koalitionsvertrag abzurücken, muss ein solcher entwickelt werden und mit Methoden zur Beantwortung der kritischen Fragen unterlegt werden. Hierfür ist allerdings noch viel Forschung notwendig.

Der Koalitionsvertrag fordert explizit ein Schwachstellenmanagement unter Federführung des BSI. Aus dem Kontext wird klar, dass damit kein Prozess nach dem Vorbild des VEP gemeint sein kann, denn wenn überhaupt keine Schwachstellen offen gehalten werden sollen, dann braucht es auch keine Abwägung.

Stattdessen ist eher die Verallgemeinerung dessen gemeint, was das BSI in seiner „CVD-Leitlinie und Richtlinie für Sicherheitsforschende” von 2022 beschreibt. CVD steht für Coordinated Vulnerability Disclosure, und das beschreibt auch das wesentlichste Ziel dieses Prozesses: die Meldung an die Verantwortlichen und schnellstmögliche Behebung gefundener Schwachstellen. Für die Sicherheitsforschung sind drei Punkte, die der geforderte Schwachstellenprozess regeln muss, besonders wichtig.

Für alle drei finden sich bereits Ansätze im CVD-Prozess des BSI: Erstens, es braucht eine verbindliche Erklärung, an wen das BSI gemeldete Schwachstellen weitergibt. Für viele Sicherheitsforscher ist es essentiell, dass an das BSI gemeldete Schwachstellen nicht an andere Sicherheitsbehörden weitergegeben und von diesen ausgenutzt werden.

Zweitens, der Prozess muss das Melden von Schwachstellen möglichst einfach und risikolos gestalten, für Behörden, andere Nutzer und Sicherheitsforscher. Für staatliche Stellen bedarf es einer zentralen Meldestelle, die idealerweise aber auch von allen anderen Beteiligten genutzt werden kann. Das BSI bietet dies bereits heute an. Wer eine Schwachstelle melden will, darf zudem keine Angst haben müssen, sich strafbar zu machen, wie es heute noch oft der Fall ist. Das BSI bietet bereits heute an, als „Puffer” zwischen Sicherheitsforschern und Herstellern beziehungsweise Dienstleistern zu dienen, aber dennoch herrscht hier noch viel Unsicherheit bei den Meldenden.

Drittens, der Prozess muss die Kommunikation mit den für das Schließen Verantwortlichen, also Standardisierer, Hersteller, Diensteanbieter, Betreiber und unter Umständen auch mit den Nutzern, die gewarnt werden müssen, übernehmen. Diese Kommunikation kann extrem aufwändig sein, etwa wenn eine Schwachstelle gleichzeitig eine große Zahl von Produkten, Diensten oder Installationen betrifft, oder wenn die Verantwortlichen selbst keine Prozesse und Erfahrung zur Annahme und Bearbeitung von Schwachstellenmeldungen haben. Sorge muss auch für den Fall getragen werden, dass kein Verantwortlicher gefunden werden kann.

Die Haltung des Staates zum Thema Schwachstellen bedarf einer gesetzlichen Klärung. Ob der Staat künftig offene Schwachstellen erwerben und zurückhalten darf oder nicht, ist eine politische Entscheidung. Wie die meisten Sicherheitsforscher unterstützen wir die Meinung, die auch im Koalitionsvertrag zum Ausdruck kommt: Schwachstellen sollten stets so schnell wie möglich geschlossen werden.

Für eine andernfalls notwendige Abwägung zwischen dem Nutzen und dem Risiko des Offenhaltens von Schwachstellen fehlt unserer Meinung nach die wissenschaftliche Basis. Sollte der Gesetzgeber sich dennoch für die Einführung eines Vulnerability Equities Process nach US-amerikanischem Vorbild entscheiden, müsste dringend und vorrangig diese wissenschaftliche Basis aufgebaut werden.

Das Verbot, Schwachstellen zurückzuhalten, schränkt die Möglichkeiten der Sicherheitsbehörden natürlich ein. Allerdings zeigt der Erfolg von Cyberkriminellen, die sehr häufig ohne Zero-Day-Schwachstellen arbeiten, dass diese Einschränkung nicht gravierend sein muss. Die Voraussetzung dafür, dass dies auch für die Arbeit des BKA und anderer Sicherheitsbehörden gilt, ist, dass diesen Behörden ausreichend Kompetenzen und Mittel zur Verfügung gestellt werden. Der Wegfall der Option, Schwachstellen zurückhalten und kommerzielle Überwachungswerkzeuge, die offen gehaltene Schwachstellen nutzt, erwerben zu können, muss durch den Aufbau eigener Fähigkeiten kompensiert werden.

Neben der Frage, wie der Staat mit Schwachstellen umgehen soll, wird in Deutschland derzeit auch darüber diskutiert, welche Möglichkeiten der Aktiven Cyberabwehr dem Staat eingeräumt werden sollen. Aktive Cyberabwehr meint, dass Sicherheitsbehörden die von Cyberkriminellen genutzte IT-Infrastruktur beeinflussen, zu Zwecken der Ermittlung oder Gefahrenabwehr. Manche Methoden der Aktiven Cyberabwehr nutzen Schwachstellen, die meisten kommen allerdings ohne aus. Es wäre sinnvoll, die verschiedenen Diskussionen zusammenzufassen.

Haya Shulman ist Professorin für Informatik an der Goethe-Universität Frankfurt am Main, Abteilungsleiterin am Fraunhofer SIT und Mitglied im Direktorium des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE.

Michael Waidner ist Professor für Informatik an der TU Darmstadt, Leiter des Fraunhofer SIT und CEO von ATHENE.

In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich der Cybersicherheit ein. Zuvor von Shulman und Waidner im Background Cybersicherheit erschienen: Vogel Strauß und die IT-Sicherheit