Der Umgang mit 0-day Schwachstellen -- zwischen Wunsch und Wirklichkeit
(original gepostet am 27.08.2018 auf Google+)
Das erfreuliche an dem Papier der Stiftung Neue Verantwortung ist, dass darin durchaus realisiert wird, dass es legitim und verantwortungsbewusst sein kann, Sicherheitslücken temporär zurückzuhalten. Das ist bei dieser Diskussion leider nicht selbstverständlich.
Richtig ist auch, dass es zu dem Umgang mit 0-day Schwachstellen verbindliche Richtlinien geben sollte (wobei IMO Details dazu, wie in den USA, eingestuft sein sollten). Dazu ist dieses Papier als erster Ansatz auch gar nicht so schlecht. Aber es wird doch zu einseitig aus Sicht der "IT-Sicherheit" geschaut. Im Wesentlichen habe ich drei Kritikpunkte:
1. Ein wichtiger Faktor für die Beurteilung wurde ausgelassen
Es werden 10 Punkte genannt, die bei der Beurteilung zu berücksichtigen sind. Diese sind auch alle nachvollziehbar und gut beschrieben. Aber ein wichtiges Kriterium fehlt: Wie oft und gegen wen der 0-day eingesetzt werden soll.
Ein Problem damit, 0-days einzusetzen, ist dass man dabei "erwischt" werden kann und der 0-day so in falsche Hände gerät. Und hier ist es schon ein Unterschied, ob er zwecks Verbrechensbekämpfung gegen technisch relativ unversierte Verdächtige eingesetzt wird, oder gegen gegnerische staatliche Akteure, bei denen es eine relativ hohe Gefahr gibt, in einen "Honeypot" zu geraten, der von feinlichen Diensten analysiert und so der 0-day extrahiert wird.
(Dass mit jedem Einsatz eines 0-day die Wahrscheinlichkeit steigt, dass dieser entdeckt wird, ist übrigens der Grund, warum ich befürworte, dass sie nur zeitlich begrenzt genutzt werden sollten)
2. Es wird ignoriert, dass Schwachstellenforschung etwas Gutes ist
Was mich an dieser Diskussion immer wieder stört, das sind falsche oder irreführende Vergleiche. 0-days werden oft mit Waffen verglichen, gar "Cyberwaffen" genannt. Der Vergleich könnte nicht falscher sein. Waffen muss man entwickeln und bauen, aber Sicherheitslücken sind schon da. Normalerweise sind es unabsichtliche Programmierfehler der Hersteller.
Schwachstellenforschung ist nichts anderes als die Suche nach etwas, das schon da ist. Es ist seit jeher ein elementarer Bestandteil der IT-Sicherheit: Forscher suchen nach Schwachstellen, und nachdem sie bekannt werden gibt es (meist) Sicherheitsupdates, und hinterher ist das System sicherer. So werden nach und nach die Schwachstellen entfernt, und insgesamt wird es immer sicherer.
Mit den Schwachstellen kann man natürlich verwerfliche oder gar kriminell Dinge machen, aber das ändert nichts daran, dass die Forschung selbst immer etwas Gutes ist.
Und dieser Punkt kommt in diesem Papier viel zu kurz, bzw. er wird überhaupt nicht angesprochen. Wenn nun BKA, BfV, BND & Co. keine Schwachstellenforschung betreiben, wem sollte damit dann geholfen sein? Die Lücken, die sie dann nicht finden, sind dadurch ja nicht weg. Die sind immer noch da, und wenn Kriminelle oder feindliche Geheimdienste die finden, werden sie diese genauso ausnutzen als wenn deutsche Dienste sie gefunden und zurückgehalten hätten.
Da muss es jedem einigermaßen pragmatisch denkenden Menschen doch lieber sein, deutsche Dienste suchen nach Sicherheitslücken, nutzen diese eine Zeitlang auf rechtsstaatlicher Grundlage für legitime Ermittlungen und Operationen aus, und legen sie dann offen. Damit wären wir alle sicherer, als wenn die Dienste überhaupt nicht mehr forschen -- denn dazu würde es kommen, wenn die Vorschläge der Stiftung Neue Verantwortung umgesetzt würden. Schon bei einer "robusten Minderheit" von 15% offenlegen zu müssen ist lächerlich. Das würde bedeuten, dass bei jeder Regierung, an der Grüne, Linke oder FDP beteiligt sind, jede entdeckte Lücke sofort offengelegt wird. Welche Motivation sollten dann die Dienste noch haben, Schwachstellenforschung zu betreiben? Richtig, keine.
3. Diensten NDAs zu verbieten ist traumtänzerisch
Das führt dann auch zu dem dritten Kritikpunkt. Wenn deutsche Dienste schon nicht selbst nach Sicherheitslücken forschen, weil es aus ihrer Sicht vergebene Liebesmüh ist, da diese ohnehin sofort offengelegt werden, sie diese Schwachstellen aber dennoch für eine effektive Arbeit benötigen, dann müsste sie sich eben auf dem Markt umsehen -- und da ist es aus naheliegenden Gründen üblich, dass ein NDA ("non disclosure agreement") unterschrieben werden muss, also die Zusicherung, dass man das Wissen über eingekaufte Sicherheitslücken nicht weiter gibt. Das weiß natürlich auch die Stiftung Neue Verantwortung, aber anstelle hier zuerst mal die eigene Ideologie kritisch zu hinterfragen, will man dieses "Problem" "elegant" damit lösen, deutschen Diensten NDAs zu untersagen. Das ist aber derart realitätsfern, dass mir fast schon die Worte fehlen. Keine einigermaßen verantwortungsbewusste Regierung (oder Parlament) wird ihren Handlungsspielraum derart künstlich begrenzen, nur um einer kruden Ideologie zu folgen.
Fazit
Man wird bei diesem Thema nur dann weiter kommen, wenn man realisiert, dass es etwas Gutes ist, Schwachstellenforschung zu betreiben, und dass es folgerichtig auch gut ist, wenn sich deutsche Sicherheitsdienste daran beteiligen. Das werden diese aber nur dann tun, wenn sie einigermaßen sicher sein können, diese auch eine Zeitlang nutzen zu können, solange es verantwortbar ist. Wenn man mit diesen Vorgaben eine verbindliche Richtlinie für die Dienste erarbeitet, dann wäre allen geholfen. Die Vorschläge der Stiftung Neue Verantwortung sind hier ein erster Ansatz, aber in der jetzigen Form kaum realitätskompatibel.
In diesem Zusammenhang, hier hatte ich mal etwas zu der Heuchelei um Wannacry & Co. geschrieben:
https://rolfweber.blogspot.com/2019/10/viel-heuchelei-um-bugs-exploits-0-days.html
Keine Kommentare:
Kommentar veröffentlichen