Abo
  • Services:
Anzeige
Der Umgang der NSA mit Sicherheitslücken soll strenger kontrolliert werden.
Der Umgang der NSA mit Sicherheitslücken soll strenger kontrolliert werden. (Bild: Douglas C. Pizac/Greenpeace)

Geheimdienste entscheiden über die Veröffentlichung

Die Kriterien, nach denen die Mitglieder, darunter die Chefs der Geheimdienste und Vertreter von Ministerien, sofern sie betroffen sind, entscheiden, bleiben allerdings vage. Die Mitglieder des Gremiums sollen versuchen, zu ermessen, ob und welchen Schaden die Veröffentlichung einer Sicherheitslücke den USA zufügen würde. Detaillierte Kriterien dazu sollen erst nach Veröffentlichung des Gesetzes erarbeitet werden.

Anzeige

Unklar ist, wie genau das Board diese Abwägung treffen soll - und ob Entscheidungen zur Weitergabe der Informationen erneut geprüft werden, wenn sich wichtige Rahmenbedingungen ändern, also neue Sicherheitslücken einen erfolgreichen Exploit einfacher machen oder davon ausgegangen werden muss, dass ein Exploit, wie im Fall der Shadow Brokers, kompromittiert ist.

Außerdem soll ermittelt werden, welche Personen die betroffenen Technologien mit Sicherheitslücken nutzen - also hauptsächlich Privatanwender, Unternehmen oder aber nur Unternehmen in spezialisierten Bereichen. Dabei soll auch festgestellt werden, ob die Produkte in "wichtigen Internet-Infrastrukturen" eingesetzt werden oder ob andere "kritische Infrastrukturen" von der Sicherheitslücke betroffen sind.

Heartbleed als Auslöser der Vulnerability-Diskussion

Damit dürfte sich Schatz auf die Anschuldigungen beziehen, die US-Regierung habe vorab über die Heartbleed-Sicherheitslücke Bescheid gewusst, die Informationen aber geheim gehalten. Nach Heartbleed hatte die US-Regierung erstmals Stellung zum eigenen Umgang mit Sicherheitslücken genommen.

Verlässliche Studien zum Thema 0-Day-Exploits gibt es nur wenige. Trotzdem soll das Board darüber befinden, wie wahrscheinlich es ist, dass eine andere Organisation als die US-Bundesregierung ebenfalls verwertbare Informationen über eine bestimmte Schwachstelle besitze. Das dürfte in der Praxis sehr schwer sein. Unklar ist, welche Indikatoren dabei herangezogen werden sollen.

Das Gesetz würde für die Regierung nicht nur Prüfpflichten bringen, sie müsste künftig auch begründen, warum ein bestimmter Exploit vorgehalten werden solle. Dabei soll unter anderem konkret begründet werden, warum die Schwachstelle wichtig sei oder für "spezifische, aktive Geheimdienstoperationen" genutzt werde. Bei dem mehrheitlich aus Geheimdienstkreisen bestehenden Gremium ist allerdings nicht zu erwarten, dass tatsächlich eine rigide Kontrolle stattfindet.

Spannend ist auch die Definition einer "bekannten Sicherheitslücke". Denn selbst wenn Informationen über Sicherheitslücken wie bei den Shadow Brokers "unautorisiert" kopiert wurden, soll die Sicherheitslücke nicht als öffentlich bekannt eingestuft werden. Damit hätten die Dienste die Möglichkeit, eine solche Lücke weiterhin nicht an den Hersteller zu melden. Andere Abgeordnete wollen hingegen einen anderen Weg einschlagen und Unternehmen zu Hackern machen.

 Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?Oder doch einfach zurückhacken? 

eye home zur Startseite
Jack0fAllRaids 29. Mai 2017

FU, den selben Gedanken hatte ich grade auch, umsonst im Nachbarkommentar getippt...

Themenstart

Jack0fAllRaids 29. Mai 2017

Ich stelle mir grad einen DDOS Angriff von massenhaft gehackten IOT Geräten vor in so...

Themenstart

matzems 27. Mai 2017

Der Vorwurf ist auch durchaus sinnvoll. Wenn ich NSA Cheff wäre, würde ich mir genau so...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Software AG, verschiedene Standorte
  2. ADWEKO Consulting GmbH, deutschlandweit
  3. TARGIS GmbH, Oldenburg
  4. Computacenter AG & Co. oHG, verschiedene Einsatzorte


Anzeige
Blu-ray-Angebote
  1. (u. a. Das Boot, Memento, Ohne Limit und No Escape)
  2. (u. a. 2 Guns, Bad Boys 2, Captain Phillips, Chappie, Christine)

Folgen Sie uns
       


  1. Landkreis Plön

    Tele Columbus bringt Gigabit-Zugänge in 15.000 Haushalte

  2. Innovation Days

    Ericsson liefert Basisstation an 5G Lab Germany

  3. Für Lokalsender

    Kabelnetzbetreiber wollen 250 Millionen Euro Rundfunkgebühr

  4. Linux-Kernel-Security

    Torvalds bezeichnet Grsecurity als "Müll"

  5. Zolo Liberty Plus

    Drahtlose Ohrstöpsel auf Kickstarter für nur 100 US-Dollar

  6. Eckpunkte

    Bundesnetzagentur sieht 5G bei 2 GHz und 3.400 bis 3.700 MHz

  7. Internet sofort

    Das Warten auf den Festnetzanschluss kann teuer werden

  8. Ransomware

    Petya-Kampagne nutzt Lücke in Buchhaltungssoftware

  9. 10 GBit/s

    Erste 5G-Endgeräte sind noch einen Kubikmeter groß

  10. Engine

    Unity will Kamerafahrten fast automatisch generieren



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Oneplus Five im Test: Der Oneplus-Nimbus verblasst - ein bisschen
Oneplus Five im Test
Der Oneplus-Nimbus verblasst - ein bisschen
  1. Smartphone Der Verkauf des Oneplus Five beginnt

Monster Hunter World angespielt: Dicke Dinosauriertränen in 4K
Monster Hunter World angespielt
Dicke Dinosauriertränen in 4K
  1. Shawn Layden im Interview Sony setzt auf echte PS 5 statt auf Konsolenevolution
  2. Square Enix Die stürmischen Ereignisse vor Life is Strange
  3. Spider-Man Superheld mit Alltagssorgen

Risk: Kein normaler Mensch
Risk
Kein normaler Mensch

  1. Re: Und (etwas) längeres Kabel

    Gemüseistgut | 17:49

  2. Re: Intel macht das, was AMD nachgesagt wurde

    ArcherV | 17:49

  3. Re: Wenn es landet wird es größer?

    ad (Golem.de) | 17:44

  4. Re: ebay

    Thunderbird1400 | 17:42

  5. Also die FDP will an sowas

    Keridalspidialose | 17:41


  1. 17:10

  2. 16:17

  3. 14:54

  4. 14:39

  5. 14:13

  6. 13:22

  7. 12:03

  8. 11:59


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel