Bundesregierung: BSI meldet alle entdeckten Sicherheitslücken an Hersteller

Noch feilt die Bundesregierung an einem künftigen "wirksamen Schwachstellenmanagement". Sie hält aber auch bereits etablierte Wege für effektiv.

In Pocket speichern vorlesen Druckansicht 5 Kommentare lesen

(Bild: JLStock/Shutterstock.com)

Lesezeit: 3 Min.

Deutsche Ämter inklusive Polizei und Geheimdienste lassen offenbar IT-Sicherheitsschwachstellen nicht gezielt offen, um darüber etwa Staatstrojaner auf Endgeräte zu spielen und verschlüsselte Kommunikation abzuhören. Dies legt die Bundesregierung zumindest in einer jetzt veröffentlichten Antwort auf eine Anfrage der Bundestagsfraktion der Linken nahe.

Dem zuständigen Bundesamt für Sicherheit in der Informationstechnik (BSI) "ist keine von einer Bundesbehörde gefundene Sicherheitslücke bekannt, die nicht an den Hersteller kommuniziert wurde", schreibt das federführende Bundesinnenministerium (BMI) in dem Bescheid. Die Bundesbehörden hätten prinzipiell "IT-Sicherheitsmaßnahmen und Meldeverfahren etabliert", um auf Schwachstellen "zu reagieren und diese an das BSI zu melden". Dieses wirke dann im Sinne seines gesetzlichen Auftrags darauf hin, "sämtliche Sicherheitslücken umgehend und im vertrauensvollen Austausch mit den Herstellern zu schließen".

Die Bundesbehörden geben im Rahmen dieses Prozesses monatliche Statistiken ab, heißt es in der Antwort. Zudem erstatteten sie anlassbezogen unverzüglich ohne feste Intervalle oder Fristen "Sofort-Meldungen" bei aufgetretenen Vorfällen oder Erkenntnissen. Bei letzteren schilderten die öffentlichen Stellen in der Regel auch erfolgte Schritte wie eine "Abstimmung mit den Herstellern und eingespielte Patches".

Im Bereich zugelassener Produkte fasse das BSI ferner strikt nach, ob beziehungsweise wann Hersteller die Lücke geschlossen und die "Bedarfsträger" die entsprechenden Softwarepatches eingespielt haben, versichert die Regierung. Vereinzelt hätten auch Hinweisgeber betroffenen Bundesbehörden und dem Hersteller die Schwachstellen gemeldet, wozu auch ein anonymes Online-Formular zur Verfügung stehe. Das BSI führe eine Übersicht der Meldungen, aber keine regelrechte Statistik.

Das Kraftfahrt-Bundesamt "hat sechs Sicherheitslücken selbständig entdeckt", gibt das BMI ein Beispiel. "Alle wurden dem BSI gemeldet, davon drei als Sofortmeldung." Der Bundesfinanzhof habe zudem 2017 und 2018 jeweils eine Schwachstelle gefunden und dem BSI gemeldet.

Beim Bundesamt für Verfassungsschutz, bei der Hackerbehörde Zitis, der Bundespolizei, beim Bundeskriminalamt (BKA), Militärischen Abschirmdienst (MAD) und Bundesnachrichtendienst (BND) erfolge "der Umgang mit Schwachstellen "nach den geltenden gesetzlichen Vorgaben", lässt sich die Exekutive noch entlocken. Sie betont: "Es greifen die allgemeinen fachaufsichtlichen und parlamentarischen Kontrollmechanismen sowie die gesetzlich vorgesehenen Rechtsschutzmöglichkeiten".

Auskunft darüber, wie diese Sicherheitsbehörden mit dem Fund von Schwachstellen konkret umgehen und wie viele sie gefunden und gemeldet haben, gibt die Regierung aber nicht. Diese Frage rund um deren Aufklärungsfähigkeiten berühre "in besonders hohem Maße das Staatswohl" und könne daher selbst in "eingestufter Form" nicht beantwortet werden. Hier müsse das Auskunftsrecht der Abgeordneten gegenüber dem Geheimhaltungsinteresse der Bundesregierung zurückstehen.

Das BSI arbeitet laut der Auskunft zudem aktuell an den Grundlagen zur Umsetzung des Ziels zum Suchen und Schließen von Sicherheitslücken im Rahmen eines "Coordinated Vulnerability Disclosure"-Prozesses im Sinne der voriges Jahr überarbeiteten Cybersicherheitsstrategie für Deutschland. Dazu zählten neben prozessualen und inhaltlichen Vorbereitungen "auch durch das Controlling geforderte organisatorische, personelle und finanzielle Umsetzungsvoraussetzungen".

(axk)