BSI werden kaum Sicherheitslücken gemeldet

Bei der Betrachtung des zum BSI gehörenden Cert-Bund heißt es in dem aktuellen Lagebericht zu Coordinated-Vulnerability-Disclosure-Fällen (CVD) unter anderem: "Nach den Erfahrungen des BSI sind bislang wenige Hersteller darauf vorbereitet, CVD-Prozesse selbstständig durchzuführen. Oftmals ist bereits die Kontaktaufnahme zur verantwortlichen Ansprechpartnerin bzw. zum verantwortlichen Ansprechpartner innerhalb eines betroffenen Unternehmens ein schwieriges Unterfangen."

Stellenmarkt
  1. SAP Fiori / ABAP / ABAP OO Entwickler (m/w/x)
    über duerenhoff GmbH, Raum Berlin
  2. IT-Systemadministration (m/w/d) im Referat "ADV, Informations- und Kommunikationstechnik, Statistik" ... (m/w/d)
    Ministerium für Klimaschutz, Umwelt, Energie und Mobilität des Landes Rheinland-Pfalz, Mainz
Detailsuche

Golem.de hatte darüber hinaus vor einer Woche über einen Fall berichtet, bei dem ein Programmierer nach der Meldung einer gefundenen Sicherheitslücke eine Anzeige und Hausdurchsuchung bekam. Wohl auch wegen derartiger Fälle ist die Zahl der vom Cert-Bund des BSI betreuten CVD-Fälle mit 25 im gesamten Betrachtungszeitraum von einem Jahr eher gering.

Auf Twitter schreibt die Sicherheitsforschungsgruppe Zerforschung dazu, dass diese wohl allein "ein Drittel der CVD-Fälle beim Cert Bund im Berichtszeitraum zu verantworten" habe. Die Projektgruppe hatte unter anderem Kundendaten bei Flink gefunden oder teils triviale Sicherheitslücken in Corona-Testzentren entdeckt.

Die Gruppe fordert, "dass der Hacker*innen-Paragraph (§ 202c StGB) abgeschafft werden muss". Darüber hinaus verweist die Projektgruppe auf weitere Forderungen des Chaos Computer Clubs (CCC), die dieser als Teil eines Vorschlag für ein digitales Regierungsprogramm veröffentlicht hat.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

CCC fordert BSI-Abtrennung aus Innenministerium

Golem Akademie
  1. Azure und AWS Cloudnutzung absichern: virtueller Zwei-Tage-Workshop
    17.–18. März 2022, virtuell
  2. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
Weitere IT-Trainings

Der CCC schreibt darin: "Solange das BSI dem Innenministerium untersteht, kann es seinem Auftrag wegen konträrer Interessen nicht kompromisslos gerecht werden. Wenn das BSI nicht vollständig von allen Aufgaben und Abhängigkeiten im Bereich der inneren Sicherheit befreit wird, kann es keine vertrauenswürdige Instanz, z. B. für die Bearbeitung von gemeldeten Sicherheitslücken oder Überprüfungen von Software sein".

Diese doppelte Aufgabe hat auch die Opposition in der vergangenen Legislaturperiode bei der Umsetzung des IT-Sicherheitsgesetz 2.0 heftig kritisiert. Konstantin von Notz (Grüne) sprach davon, dass das BSI zu einem Ersatz-Nachrichtendienst werde. Zu der Umsetzung des Gesetzes schreibt Bundesinnenminister Seehofer im Vorwort des Lageberichts jedoch: "Damit haben wir unsere Cyber-Sicherheit deutlich erhöht". Viele Sicherheitsforscher sehen das möglicherweise aber anderes, was auch ein Grund dafür sein könnte, dass dem BSI beziehungsweise dem Cert-Bund so wenige Lücken gemeldet werden.

Nachtrag vom 21. Oktober 2021, 14:34 Uhr

Anlässlich der Vorstellung des BSI-Lageberichts forderte Anke Domscheit-Berg (Linke) eine "Neuausrichtung der Cybersicherheitsstrategie" durch die kommende Bundesregierung. Auch Domscheit-Berg vertritt die Forderung zur Streichung des sogenannten Hacker-Paragraphen und einer Herauslösung des BSI aus dem Innenministerium. Ebenso müsse IT-Sicherheit im Bund höhere Priorität erlangen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 BSI-Lagebericht: Ransomware entwickelt "sich zur größten Bedrohung"
  1.  
  2. 1
  3. 2


Brennholzverleih 22. Okt 2021 / Themenstart

Das sehe ich auch so. In den Berichten wird immer davon gesprochen, dass Person x...

moppi 21. Okt 2021 / Themenstart

D hat das ganze seit 2008 So richtig Hart verkackt, als sie Google zwangen, Alles zu...

DAASSI 21. Okt 2021 / Themenstart

meistens solche, wie die der CDU-"Hackerin" (Wittemann oder wie sie hieß): politische...

M.P. 21. Okt 2021 / Themenstart

DAS wird wiederum Western Union nicht gefallen ;-)

Kommentieren



Aktuell auf der Startseite von Golem.de
OneXPlayer 1S im Test
Die Über-Switch

Mit schnellem Prozessor, viel RAM und integrierter Intel-GPU soll der OneXPlayer zum stärksten Spiele-Handheld werden. Das klappt zumindest teilweise.
Ein Test von Martin Wolf

OneXPlayer 1S im Test: Die Über-Switch
Artikel
  1. Edge-Browser: Microsoft will Installation von Chrome verhindern
    Edge-Browser
    Microsoft will Installation von Chrome verhindern

    Microsoft intensiviert sein Vorgehen gegen andere Browser: Vor der Installation von Chrome wird Edge übertrieben gelobt.

  2. Pixel Watch: Google will 2022 eine eigene Smartwatch bringen
    Pixel Watch
    Google will 2022 eine eigene Smartwatch bringen

    Die erste Google-Smartwatch soll preislich mit der Apple Watch konkurrieren.

  3. Ikea Åskväder: Modulare Steckdosenleiste startet in Deutschland
    Ikea Åskväder
    Modulare Steckdosenleiste startet in Deutschland

    Die modulare Steckdosenleiste von Ikea ermöglicht viele Anpassungen und wird erstmals auf der Ikea-Webseite gelistet.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Toshiba Canvio 6TB 88€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Netgear günstiger (u. a. 5-Port-Switch 16,89€) • Norton 360 Deluxe 2022 18,99€ • Gaming-Monitore zu Bestpreisen (u. a. Samsung G3 27" FHD 144Hz 219€) • Spiele günstiger (u. a. Hades PS5 15,99€) [Werbung]
    •  /