BSI erfasst Sicherheitslücken nicht systematisch

0
950
Bundesbehörden sind verpflichtet, Schwachstellen an das BSI zu melden. Bei Nichtmeldung drohen Strafen. Allerdings findet keine systematische Erfassung der Fehlermeldungen seitens des BSI statt. Foto: BS/Gerd Altmann, pixabay.com

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfasst Schwachstellen bei Behörden und Stellen des Bundes nicht systematisch. Schwachstellen werden nicht nur im Rahmen von Cyber-Angriffen erfasst, sondern auch bei Produktprüfungen, Zertifizierungen und Zulassungen entdeckt.

Dabei werden die vom BSI gefundenen Schwachstellen im „vertrauensvollen Austausch mit den Herstellern“ geklärt, aber nicht systematisch erfasst, teilte die Bundesregierung in einer Antwort auf eine schriftliche Anfrage der Linken-Fraktion im Bundestag mit. Allerdings würden die Bundesbehörden monatliche Statistiken an das BSI melden, bei Sofort-Meldungen sogar unverzüglich. Sofort-Meldungen sind zu erstellen, wenn eine unmittelbare Gefahr für die Sicherheit der Informationstechnik des Bundes nicht ausgeschlossen werden kann.

Die Anfrage thematisierte vor allem das Schwachstellenmanagement der Bundesregierung, die sich „unter Federführung eines unabhängigeren Bundesamtes für Sicherheit in der Informationstechnik“ um die schnellmögliche Lösung bemühe, heißt es im Koalitionsvertrag der Ampel.

Im Schwachstellenformular des BSI können auch anonym Sicherheitslücken gemeldet werden, mit dem ein Coordinated Vulnerability Disclosure (CVD) Verfahren eingeleitet werde könne, heißt es in der schriftlichen Antwort. Bei den Sicherheitsbehörden Bundesamt für Verfassungsschutz (BfV), ZITiS, Bundespolizei (BPOL), Bundeskriminalamt (BKA), Militärischer Abschirmdienst (MAD) und Bundesnachrichtendienst (BND) wird der Umgang mit Schwachstellen nach anderen gesetzlichen Vorgaben geregelt. Des Weiteren werden Sicherheitsmeldungen von den zuvor genannten Behörden und Stellen nicht öffentlich kommuniziert, weil die Informationen „die Fähigkeiten und Arbeitsweise von Sicherheitsbehörden und Nachrichtendiensten“ so detailliert beschreiben, dass eine Bekanntgabe nicht zu gerechtfertigten ist, so die Bundesregierung.

Aktuell sei die Koalition damit beschäftigt, das CVD-Verfahren verantwortungsvoll zu fördern. Dazu zählen neben prozessualen und inhaltlichen Vorbereitungen auch durch das Controlling geforderte organisatorische, personelle und finanzielle Anpassen der Umsetzungsvoraussetzungen.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here