Regelmäßig flattert mir Die Zeitschrift für Informationssicherheit <KES> in den beruflichen Briefkasten und erfreut mich mit mehr oder weniger spannenden Artikeln zu Informationssicherheit und Datenschutz. Obwohl mir die netzpolitische Tragweite manchmal zu kurz kommt und der ein oder andere Artikel einen leichten Beigeschmack hat, stellt die Lektüre für mich einen allgemeinen Mehrwert dar.
Im aktuellen Heft 6⁄2018 mahnt nun Sven Herpig von der Stiftung Neue Verantwortung unter dem Titel “Schwachstellen für Deutschland” an, dass es einen rechtlich verankerten Prozess braucht, nach dem Deutschland zum Ausbau seines Cyber-Offensiv-Potentiales Zero-Days-Schwachstellen horten muss.
Er stellt fest, dass Deutschland “…neben dem Dreiklang aus Prävention, Detektion und Reaktion […] zunehmend auch auf Repression als zusätzliches Element seiner Cyber-Sicherheitsstrategie …” setzt.
Das ist zunächst keine große Überraschung, hat sich doch die Bundesrepublik dafür gerade erst mit Zitis ein Startup zur Unterstützung seiner Sicherheitsbehörden gelaunched.
Im nächsten Satz stellt er ferner fest, dass aufgrund des staatlichen Wunsches nach “aktiver Cyberabwehr”, auch “Hack Back” genannt, wieder einmal Diskussionen aufkommen. Aus seiner Sicht seien viele Fragen noch ungeklärt, und nicht selten bewege sich der Diskurs nur zwischen Schwarz und Weiß, ohne zwischen verschiedenen Eskalationsstufen zu unterscheiden.
Mit diesen Graustufen beschäftigt er sich dann im Laufe des weiteren Artikels und skizziert, wie der Staat “verantwortungsvoll” über die Zurückhaltung von Lücken entscheiden könnte, wie dieser Besitz geschützt werden müsste, welche Kontrollinstrumente es geben sollte und wann die Lücken dann schließlich an die Öffentlichkeit gebracht werden sollten.
Dabei lässt er unter anderem die Frage aussen vor, ob es für den Staat legitim sein sollte, Schwachstellen käuflich zu erwerben, auf “legalen” oder “illegalen” Marktplätzen sei jetzt mal dahingestellt, oder ob Lücken nur durch eigenes Hacking in Kenntnis gebracht werden dürfen. Beim Schutz dieser Informationen mahnt er große Sorgfalt an und führt sogar als Negativbeispiel an, dass selbst “mächtige Geheimdienste wie die NSA” mal Sicherheitslücken haben, wodurch sie Sicherheitslücken verlieren. Das diese dann in Schadsoftware wie Petya/NotPetya oder WannaCry verwendung fanden, findet er richtigerweise katastrophal.
In seiner Vorstellung entscheidet ein Gremium, bestehend aus “Bundeswehr und Sicherheitsbehörden sowie BSI, Bundeswirtschaftsministerium und Auswärtigem Amt” darüber, ob eine Lücke zurückzuhalten sei oder nicht. Bei Bedarf sollen auch weitere Ämter wie das Bundesinstitut für Arzneimittel und Medizinprodukte oder (externe) Experten einbezogen werden. Die bekämen aber kein Stimmrecht.
Anhand von neun Indikatoren solle bewertet werden, ob eine Lücke zur Zurückhaltung taugt. Neben Fragen zur Attraktivität (u.a. Verbreitung, Patch-Status, Mitigationsmaßnahmen, Operativer Nutzen), kommen u.a. auch die Fragen nach der Schwere und Kollissionsrate (also wie sicher fühlt man sich, dass man allein diese Lücke kennt) vor. Auf dieser Basis soll demokratisch darüber abgestimmt werden, was mit der Lücke zu geschehen hat, wobei bereits bei einer Ablehnung durch 15% der Teilnehmer eine Lücke sofort zu veröffentlicht sei. Eine qualitative Bewertung soll also nicht stattfinden, jede Behörde entscheidet völltig unabhängig.
Was das bei einem Gremium bestehend aus “Bundeswehr, MAD, BND, VS, Bundespolizei, Zoll, Bundesgrenzschutz, BSI, BMWi, AA” dann z.B. für die Relevanz eines BSI, der auch den “Verbraucherschutz im Internet” verantwortet, bedeutet, lasse ich als kleine Rechenaufgabe stehen. Auch die bundeseigenen Datenschützenden oder die Bundesnetzagentur werden wohl nicht als entscheidungsrelevant angesehen. Aber natürlich gäbe es auch noch parlamentarische Kontrolle, einen Transparenzbericht und das ganze Pipapo. Dann kann sich die Bevölkerung im Nachgang ganz in Ruhe am nächsten Safer-Internet-Day damit befassen, warum schon sie schon wieder ihr Passwort ändern soll.
Wie man merkt, kann ich dem Vorschlag nichts abgewinnen. Aber eigentlich ist das aus meiner Sicht nicht das große Problem an dem Artikel.
Vielmehr finde ich skandalös, dass hier durch eine staatsnahe Fachpublikation Framing vom Feinsten betrieben wird. Anstatt die Notwendigkeit, Sicherheitslücken für Offensivzwecke zu horten, zu hinterfragen, wird es so dermaßen als faktische Notwendigkeit dargestellt, dass man gewillt ist, das beschriebene Konzept als eine Verbesserung wahrzunehmen.
Aber Sicherheitslücken gehören sofort und ohne Umschweife verantwortlich dort gewmeldet, wo eine Behebung erfolgen kann. Alles andere zieht unsere Sicherheit in in Mitleidenschaft und gehört verboten!