Gesellschaft für Informatik: BSI soll Lücken veröffentlichen

Ein Sprecher der Gesellschaft wirft dem Gesetzgeber und dem BSI vor, Zero-Day-Lücken für eigene Zwecke zu horten, während die deutsche Wirtschaft unter den Folgen leiden müsse.

In Pocket speichern vorlesen Druckansicht 18 Kommentare lesen
Virus

Werden Zero-Day-Lücken vor den Herstellern der Software geheim gehalten, sind Nutzer wehrlos gegen sie.

Lesezeit: 1 Min.
Von
  • Fabian A. Scherschel

Die Gesellschaft für Informatik (GI) hat erneut den Umgang der Regierung mit sogenannten Zero Day Exploits kritisiert. Nach dem Entwurf für das neue IT-Sicherheitsgesetz soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) solche bisher unveröffentlichten Sicherheitslücken zwar sammeln, ist aber nicht verpflichtet, diese zu veröffentlichen. Das ermöglicht es mutmaßlich anderen Behörden, Nutzer mit Hilfe dieses Wissens anzugreifen – etwa um Quellen-TKÜ durchzuführen.

Hartmut Pohl, Sprecher des Arbeitskreises für Datenschutz und IT-Sicherheit bei der GI, sieht dieses Vorgehen der Bundesbehörde als unnötige Belastung für die deutsche Wirtschaft. Die Veröffentlichung von bis dato unbekannten Lücken sei unverzichtbar. "Nur so können sich Unternehmen und Privatpersonen nachhaltig gegen die ständig zunehmenden IT-Angriffe schützen", erklärte der GI-Sprecher. Kriminelle verdienten Milliarden, während deutsche Firmen die Verluste schultern müssten.

Ähnliche Kritik war auch letzte Woche auf einer Konferenz der Branchenvereinigung Bitkom und der Heinrich-Böll-Stiftung laut geworden, an der auch Pohl teilgenommen hatte. Der BND verwende solche Zero-Day-Lücken ebenso wie lokale Strafverfolgungsbehörden was zu Lasten der Nutzer gehe, so der allgemeine Tenor. (fab)