Streit in Bundesregierung über „Zero-Day-Exploits“: Geheimdienste können Lücken in Software ausnutzen

"Zero-Day-Exploits" sind Schadsoftware, die bislang unbekannte Sicherheitslücken ausnutzen. Die Strafverfolgungsbehörden machten sich diese Lücken bisher zunutze – das soll aufhören, fordern Kritiker. BND-Präsident Bruno Karl sagte, man habe keinen Grund, "solche Aufklärungsmöglichkeiten auszuschlagen".

In der Bundesregierung ist offenbar ein Streit über die Nutzung von sogenannten Zero-Day-Exploits entbrannt. Das berichtet „Zeit-Online“. Demnach wollen der Bundesnachrichtendienst und die Bundeswehr „Zero-Day-Exploits“ nutzen, um in andere Computersysteme einzudringen.

Bei „Zero-Day-Exploits“ handelt es sich um Schadsoftware, die bislang unbekannte Sicherheitslücken ausnutzt. Das Auswärtige Amt arbeitet im Rahmen einer Expertengruppe der Vereinten Nationen daran, „Zero-Day-Exploits“ international zu ächten.

IT-Sicherheitsexperten halten diesen Plan für notwendig und wichtig. „Der […] Kauf, die Entwicklung und die Nutzung von Schwachstellen und Exploits durch Strafverfolgungsbehörden ist ein für die Bundesregierung relevantes Thema“, heißt es in der Antwort des Innenministeriums auf eine schriftliche Frage der SPD-Bundestagsabgeordneten Saskia Esken, berichtet „Zeit-Online“.

Man setze sich derzeit „inhaltlich intensiv mit dieser Problematik auseinander“. Und weiter: „Die Überlegungen sollen in einen Prozess münden, sind allerdings nicht abgeschlossen und bedürfen noch einer Konkretisierung.“

Die Expertengruppe der Vereinten Nationen hatte 2015 unter Beteiligung des Auswärtigen Amtes dringend empfohlen, dass alle Staaten, die IT-Sicherheitsprobleme entdecken, verantwortlich mit ihnen umgehen und alle Betroffenen darüber informieren. Die UN-Generalversammlung hat diese Empfehlung anschließend einstimmig verabschiedet. Das sei zwar keine völkerrechtlich bindende Vereinbarung, wohl aber eine sehr starke politische Verpflichtung, heißt es nach Informationen von „Zeit-Online“ im Außenministerium.

BND-Präsident Bruno Karl sagte dagegen in einer öffentlichen Bundestagsanhörung, man habe keinen Grund, „solche Aufklärungsmöglichkeiten auszuschlagen“. Laut Bericht soll daher die neu gegründete Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) künftig darüber entscheiden, ob eine Sicherheitslücke von Geheimdiensten genutzt werden darf, oder ob Hersteller und Betreiber der Systeme gewarnt werden. An diesem Bewertungsprozess sollen demnach auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundeswehr beteiligt werden.

Vorbild sind die USA, die einen solchen Bewertungsprozess für die Arbeit des Geheimdienstes NSA vorschreiben. Doch wird dieser „Vulnerabilities Equities Process“ von Sicherheitsexperten kritisiert. Allein schon die durch die Bewertung verursachte Verzögerung stelle eine Gefahr dar, argumentieren sie. Daher fordert beispielsweise der Chaos Computer Club, Zero-Day-Lücken konsequent zu schließen, statt sie im Geheimen auszunutzen. (dts)

Kommentieren
Werte Leserinnen und Leser,
in Ihrem und unserem Interesse werden wir ab 17. Oktober 2017, nur noch von unseren Moderatoren freigegebene Kommentare veröffentlichen. Nach langer Beobachtung mussten wir feststellen, dass viele aggressive Kommentare in Inhalt und verletzender Form dem Ansehen der Epoch Times geschadet haben. Wir bedanken uns für konstruktive Ergänzungen, Anregungen und auch kritische Anmerkungen. Diese werden wir wie bisher so schnell wie möglich freischalten. Aber aus Mangel an Manpower werden wir die Kommentarfunktion auch manchmal ganz schließen müssen.

Wir bitten um Ihr Verständnis.

Ihre Epoch Times-Redaktion