• IT-Karriere:
  • Services:

Geheimdienste entscheiden über die Veröffentlichung

Die Kriterien, nach denen die Mitglieder, darunter die Chefs der Geheimdienste und Vertreter von Ministerien, sofern sie betroffen sind, entscheiden, bleiben allerdings vage. Die Mitglieder des Gremiums sollen versuchen, zu ermessen, ob und welchen Schaden die Veröffentlichung einer Sicherheitslücke den USA zufügen würde. Detaillierte Kriterien dazu sollen erst nach Veröffentlichung des Gesetzes erarbeitet werden.

Stellenmarkt
  1. Techniker Krankenkasse, Hamburg
  2. Webasto Group, Gilching bei München

Unklar ist, wie genau das Board diese Abwägung treffen soll - und ob Entscheidungen zur Weitergabe der Informationen erneut geprüft werden, wenn sich wichtige Rahmenbedingungen ändern, also neue Sicherheitslücken einen erfolgreichen Exploit einfacher machen oder davon ausgegangen werden muss, dass ein Exploit, wie im Fall der Shadow Brokers, kompromittiert ist.

Außerdem soll ermittelt werden, welche Personen die betroffenen Technologien mit Sicherheitslücken nutzen - also hauptsächlich Privatanwender, Unternehmen oder aber nur Unternehmen in spezialisierten Bereichen. Dabei soll auch festgestellt werden, ob die Produkte in "wichtigen Internet-Infrastrukturen" eingesetzt werden oder ob andere "kritische Infrastrukturen" von der Sicherheitslücke betroffen sind.

Heartbleed als Auslöser der Vulnerability-Diskussion

Damit dürfte sich Schatz auf die Anschuldigungen beziehen, die US-Regierung habe vorab über die Heartbleed-Sicherheitslücke Bescheid gewusst, die Informationen aber geheim gehalten. Nach Heartbleed hatte die US-Regierung erstmals Stellung zum eigenen Umgang mit Sicherheitslücken genommen.

Verlässliche Studien zum Thema 0-Day-Exploits gibt es nur wenige. Trotzdem soll das Board darüber befinden, wie wahrscheinlich es ist, dass eine andere Organisation als die US-Bundesregierung ebenfalls verwertbare Informationen über eine bestimmte Schwachstelle besitze. Das dürfte in der Praxis sehr schwer sein. Unklar ist, welche Indikatoren dabei herangezogen werden sollen.

Das Gesetz würde für die Regierung nicht nur Prüfpflichten bringen, sie müsste künftig auch begründen, warum ein bestimmter Exploit vorgehalten werden solle. Dabei soll unter anderem konkret begründet werden, warum die Schwachstelle wichtig sei oder für "spezifische, aktive Geheimdienstoperationen" genutzt werde. Bei dem mehrheitlich aus Geheimdienstkreisen bestehenden Gremium ist allerdings nicht zu erwarten, dass tatsächlich eine rigide Kontrolle stattfindet.

Spannend ist auch die Definition einer "bekannten Sicherheitslücke". Denn selbst wenn Informationen über Sicherheitslücken wie bei den Shadow Brokers "unautorisiert" kopiert wurden, soll die Sicherheitslücke nicht als öffentlich bekannt eingestuft werden. Damit hätten die Dienste die Möglichkeit, eine solche Lücke weiterhin nicht an den Hersteller zu melden. Andere Abgeordnete wollen hingegen einen anderen Weg einschlagen und Unternehmen zu Hackern machen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?Oder doch einfach zurückhacken? 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Spiele-Angebote
  1. Luigi: 104€, Mario: 104€ (Release 16.10.)
  2. (u. a. Sam & Max Hit the Road für 1,25€ Maniac Mansion für 1,25€, The Secret of Monkey...
  3. 25,99€

Jack0fAllRaids 29. Mai 2017

FU, den selben Gedanken hatte ich grade auch, umsonst im Nachbarkommentar getippt...

Jack0fAllRaids 29. Mai 2017

Ich stelle mir grad einen DDOS Angriff von massenhaft gehackten IOT Geräten vor in so...

matzems 27. Mai 2017

Der Vorwurf ist auch durchaus sinnvoll. Wenn ich NSA Cheff wäre, würde ich mir genau so...


Folgen Sie uns
       


Mobilfunk: UMTS-Versteigerungstaktik wird mit Nobelpreis ausgezeichnet
Mobilfunk
UMTS-Versteigerungstaktik wird mit Nobelpreis ausgezeichnet

Sie haben Deutschland zum Mobilfunk-Entwicklungsland gemacht und wurden heute mit dem Nobelpreis ausgezeichnet: die Auktionstheorien von Paul R. Milgrom und Robert B. Wilson.
Ein IMHO von Frank Wunderlich-Pfeiffer

  1. Coronakrise Deutsche Urlaubsregionen verzeichnen starke Mobilfunknutzung
  2. LTE Telekom benennt weitere Gewinner von "Wir jagen Funklöcher"
  3. Mobilfunk Rufnummernportierung darf maximal 7 Euro kosten

Corsair K60 RGB Pro im Test: Teuer trotz Viola
Corsair K60 RGB Pro im Test
Teuer trotz Viola

Corsair verwendet in der K60 Pro RGB als erster Hersteller Cherrys neue preiswerte Viola-Switches. Anders als Cherrys günstige MY-Schalter aus den 80ern hinterlassen diese einen weitaus besseren Eindruck bei uns - der Preis der Tastatur hingegen nicht.
Ein Test von Tobias Költzsch

  1. Corsair K100 RGB im Test Das RGB-Monster mit der Lichtschranke
  2. Corsair Externes Touchdisplay ermöglicht schnelle Einstellungen
  3. Corsair One a100 im Test Ryzen-Wasserturm richtig gemacht

Oneplus 8T im Test: Oneplus gutes Gesamtpaket kostet 600 Euro
Oneplus 8T im Test
Oneplus gutes Gesamtpaket kostet 600 Euro

Das Oneplus 8 wird durch das 8T abgelöst. Im Test überzeugen vor allem die Kamera und die Ladegeschwindigkeit. Ein 8T Pro gibt es 2020 nicht.
Ein Test von Tobias Költzsch

  1. Bloatware Oneplus installiert keine Facebook-Dienste mehr vor
  2. Smartphone Oneplus 8 und 8 Pro bekommen Android 11
  3. Mobile Neues Oneplus-Smartphone für 200 US-Dollar erwartet

    •  /