Zero Days: Bundesregierung prüft das Zurückhalten von Sicherheitslücken
Noch hat die Bundesregierung keine abgestimmte Einstellung zum Umgang mit Zero-Day-Exploits, doch vorbereitet wird laut einem Bericht ein Verfahren, das eine Zurückhaltung vorsieht, wenn Geheimdienste das wünschen. Das Auswärtige Amt hatte anderes vor.
Die Bundesregierung plant angeblich, das Wissen über Zero-Day-Exploits nicht zwangsläufig mit den betroffenen Unternehmen zu teilen. Stattdessen wird ein Verfahren vorbereitet, in dem für solche Lücken im Einzelfall geprüft wird, wie gefährlich sie sind beziehungsweise wie hilfreich sie für Geheimdienste und die Bundeswehr wären. Das berichtet Zeit Online anlässlich einer Antwort des Innenministeriums auf eine Anfrage der SPD-Bundestagsabgeordneten Saskia Esken zum Umgang mit Zero-Day-Lücken. Darin heißt es demnach, mit der Problematik setze sich das Ministerium gegenwärtig intensiv auseinander, das solle in einen noch zu konkretisierenden Prozess münden. Damit ist dem Bericht zufolge das Verfahren gemeint, das in den USA als "Vulnerabilities Equities Process" (VEP) beispielsweise für die NSA gilt.
Herausgeben oder nicht
Der VEP kam in den USA unter anderem zum Einsatz, als die Bundespolizei FBI Informationen über entdeckte Schwachstellen in älteren iOS- und OS X-Versionen an Apple übermittelte. Das heißt, die Regierung entschied, dass es nicht mehr wichtiger erschien, diese Sicherheitslücken geheimzuhalten, als den Hersteller zu informieren und damit letztlich die Nutzer zu schützen. Das ist also weder ein Nutzungsverbot noch eine Garantie dafür, dass der Wunsch von Nutzern nach sicheren Produkten wichtiger genommen wird als die Interessen der Geheimdienste. Trotzdem will sich die Bundesregierung an genau diesem Prozess ein Vorbild nehmen, wie Zeit Online nach eigenen Angaben nun von ungenannten Quellen erfahren hat. Die Prüfung könnte demnach die neue Behörde Zitis übernehmen.
Zero-Day-Exploits sind Sicherheitslücken in Produkten, die deren Hersteller unbekannt sind und für die also keine Patches bereit gestellt werden können. Werden sie nicht geschlossen, stehen Nutzer dem meist hilflos gegenüber, weswegen ihre Ausnutzung durch staatliche Stellen besonders kritisch gesehen wird. Sollte es tatsächlich dazu kommen, dass sich die Bundesregierung offen hält, solche Lücken geheimzuhalten, würde das auch dem Ansinnen des Auswärtigen Amtes zuwiderlaufen. Das setzt sich international dafür ein, Zero Days zu ächten. Wenn sich Behörden – etwa für den Staatstrojaner – an der Jagd auf solche Lücken beteiligen, heizen sie damit auch einen so schon florierenden Markt unter Kriminellen weiter an. (mho)