(BS) Das Bundesinnenministerium (BMI) hat ein Schwachstellenmanagement versprochen. Bislang ist nichts weiter dazu bekannt geworden. Doch der Bedarf ist da. Kurz vor Jahresende haben sich Behördenvertreter noch einmal zu Schwachstellen geäußert.
Jeden Tag entdeckt das Bundesamt für Sicherheit in der Informationstechnik (BSI) rund 70 neue Schwachstellen, sogenannte Zero Days. Das berichtete die BSI-Präsidentin Claudia Plattner auf dem 15. Jubiläum des Cyber-Sicherheitsforschungszentrums Fraunhofer Athene. Schwachstellen sind Hintertürchen, durch die Hacker in ein fremdes Computer-System eindringen. Davon gibt es viele Bekannte, manche gepatcht, manche ungepatcht. Aber alle Schwachstellen sind mögliche Wege in ein fremdes System.
Üblicherweise sollten die Entdecker von Schwachstellen sie deshalb an das BSI melden. Dieses informiert dann den Hersteller, damit unter Umständen ein Patch entwickelt werden kann. Manchmal wird die Schwachstelle auch sofort öffentlich gemacht, damit Nutzer die gefährliche Soft- oder Hardware unschädlich machen können. Doch dieses Vorgehen hat einen Nachteil. „Sobald eine Schwachstelle bekannt ist, wird sie ausgenutzt“, gibt Prof. Dr. Haya Shulmann zu bedenken, die bei Fraunhofer Athene nach neuen Angriffen und Schwachstellen forscht. Auch Hacker lesen die veröffentlichten Schwachstellen und greifen an. Doch nicht nur sie. Nachrichtendienste nutzen Sicherheitslücken aus.
„Der Bundesnachrichtendienst ist für seine Aufgabe auf die ein oder andere Schwachstelle angewiesen“, findet Matthias Mielimonka (Bundesnachrichtendienst). Die Dienste nutzen Schwachstellen, um in die IT ihrer Ziele einzudringen. Dafür brauche es rechtliche Ausnahmen von einer ansonsten umfassenden Pflicht, Lücken dem BSI zu melden und möglichst zu schließen, fordert Mielimonka. „Wenn wir alle Schwachstellen schließen, ist vielleicht der Cyber-Sicherheit gedient, aber nicht der gesamtstaatlichen Sicherheit“, sagt Mielimonka.
„Russland und China sind Gegner, die keinerlei rechtliche Restriktionen haben“, springt ihm sein Kollege, der Leiter Cyber-Abwehr des Bundesamts für Verfassungsschutz (BfV), bei. Jadran Mesic schildert es als sehr frustrierend für die Arbeitsebene, wenn der Gegner jede Schwachstelle nutzt, die er finden kann, während man selbst sehr wenig dagegenhalten dürfe. Trotzdem behalte der Verfassungsschutz nicht jede Schwachstelle für sich, sondern melde sie meistens weiter, damit sie geschlossen werden kann. Es sei fast ein „internationaler Teamsport“, sagt Mesic. Die Geheimdienste anderer Nationen warnten Deutschland vor neuen Schwachstellen und laufenden Angriffen und man revanchiere sich.
„Jede Schwachstelle kann gegen uns verwendet werden“, warnt dagegen BSI-Präsidentin Claudia Plattner. Eine Sicherheitslücke offen zu lassen, stelle ein großes Risiko für Deutschland selbst dar. Denn eine für Nachrichtendienste brauchbare Schwachstelle ist eine, die sich in vielen Systemen findet – nicht zuletzt in den eigenen. Da das BSI rund 70 Schwachstellen pro Tag finde, gebe es auch „einen guten praktischen Grund, die Dinger zuzumachen“. Es kämen ständig neue nach.
„Die Wahrheit liegt irgendwo zwischen Sofort-alles-schließen und Alles-offen-lassen“, konstatierte Wilfried Karl. Er steht als Präsident der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) vor. Diese entwickelt Soft- und Hardware für die Sicherheitsbehörden, unter anderem zur Telekommunikationsüberwachung. Karl plädiert in dieser Frage für Risikoabwägungen.
Und er berichtet, dass er einmal in einem Interview gesagt habe, dass Deutschland aktive Cyber-Abwehr bräuchte. Daraus sei die Schlagzeile entstanden „Cyberwar: ZITiS-Präsident Wilfried Karl will den digitalen Gegenschlag“. Er habe mit allem gerechnet, aber nicht mit dem Riesenstapel Bewerbungen, die dann bei der Behörde eingingen.
Generalmajor Jürgen Setzer, stellvertretender Inspekteur des Kommando Cyber- und Informationsraum (CIR) und CISO Bundeswehr betont: „Wir haben Kräfte, die offensiv wirken können und bestens ausgebildet sind.“ Für Einsätze und Operationen gälten dabei die Paragrafen des Grundgesetzes, die auch sonst den Einsatz der Bundeswehr regeln.
Dennoch gibt es bei Schwachstellen einen prozessualen Mangel. Wann eine Schwachstelle zu melden ist und wann die Sicherheitsbehörden sie zu anderen Zwecken zurückhalten dürfen, dafür gibt es keinen eineindeutigen Prozess. Die Ampelregierung hat im Koalitionsvertrag versprochen, dem abzuhelfen. Innenministerin Nancy Faeser (SPD) hat das Versprechen in ihrer Cybersicherheitsagenda erneuert. Bislang ist es bei Worten geblieben.
