Abo
  • Services:
Anzeige
Der Umgang der NSA mit Sicherheitslücken soll strenger kontrolliert werden.
Der Umgang der NSA mit Sicherheitslücken soll strenger kontrolliert werden. (Bild: Douglas C. Pizac/Greenpeace)

Geheimdienste entscheiden über die Veröffentlichung

Die Kriterien, nach denen die Mitglieder, darunter die Chefs der Geheimdienste und Vertreter von Ministerien, sofern sie betroffen sind, entscheiden, bleiben allerdings vage. Die Mitglieder des Gremiums sollen versuchen, zu ermessen, ob und welchen Schaden die Veröffentlichung einer Sicherheitslücke den USA zufügen würde. Detaillierte Kriterien dazu sollen erst nach Veröffentlichung des Gesetzes erarbeitet werden.

Anzeige

Unklar ist, wie genau das Board diese Abwägung treffen soll - und ob Entscheidungen zur Weitergabe der Informationen erneut geprüft werden, wenn sich wichtige Rahmenbedingungen ändern, also neue Sicherheitslücken einen erfolgreichen Exploit einfacher machen oder davon ausgegangen werden muss, dass ein Exploit, wie im Fall der Shadow Brokers, kompromittiert ist.

Außerdem soll ermittelt werden, welche Personen die betroffenen Technologien mit Sicherheitslücken nutzen - also hauptsächlich Privatanwender, Unternehmen oder aber nur Unternehmen in spezialisierten Bereichen. Dabei soll auch festgestellt werden, ob die Produkte in "wichtigen Internet-Infrastrukturen" eingesetzt werden oder ob andere "kritische Infrastrukturen" von der Sicherheitslücke betroffen sind.

Heartbleed als Auslöser der Vulnerability-Diskussion

Damit dürfte sich Schatz auf die Anschuldigungen beziehen, die US-Regierung habe vorab über die Heartbleed-Sicherheitslücke Bescheid gewusst, die Informationen aber geheim gehalten. Nach Heartbleed hatte die US-Regierung erstmals Stellung zum eigenen Umgang mit Sicherheitslücken genommen.

Verlässliche Studien zum Thema 0-Day-Exploits gibt es nur wenige. Trotzdem soll das Board darüber befinden, wie wahrscheinlich es ist, dass eine andere Organisation als die US-Bundesregierung ebenfalls verwertbare Informationen über eine bestimmte Schwachstelle besitze. Das dürfte in der Praxis sehr schwer sein. Unklar ist, welche Indikatoren dabei herangezogen werden sollen.

Das Gesetz würde für die Regierung nicht nur Prüfpflichten bringen, sie müsste künftig auch begründen, warum ein bestimmter Exploit vorgehalten werden solle. Dabei soll unter anderem konkret begründet werden, warum die Schwachstelle wichtig sei oder für "spezifische, aktive Geheimdienstoperationen" genutzt werde. Bei dem mehrheitlich aus Geheimdienstkreisen bestehenden Gremium ist allerdings nicht zu erwarten, dass tatsächlich eine rigide Kontrolle stattfindet.

Spannend ist auch die Definition einer "bekannten Sicherheitslücke". Denn selbst wenn Informationen über Sicherheitslücken wie bei den Shadow Brokers "unautorisiert" kopiert wurden, soll die Sicherheitslücke nicht als öffentlich bekannt eingestuft werden. Damit hätten die Dienste die Möglichkeit, eine solche Lücke weiterhin nicht an den Hersteller zu melden. Andere Abgeordnete wollen hingegen einen anderen Weg einschlagen und Unternehmen zu Hackern machen.

 Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?Oder doch einfach zurückhacken? 

eye home zur Startseite
Jack0fAllRaids 29. Mai 2017

FU, den selben Gedanken hatte ich grade auch, umsonst im Nachbarkommentar getippt...

Jack0fAllRaids 29. Mai 2017

Ich stelle mir grad einen DDOS Angriff von massenhaft gehackten IOT Geräten vor in so...

matzems 27. Mai 2017

Der Vorwurf ist auch durchaus sinnvoll. Wenn ich NSA Cheff wäre, würde ich mir genau so...



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, verschiedene Standorte, deutschlandweit
  2. Melitta Professional Coffee Solutions GmbH & Co. KG, Minden
  3. Landesbetrieb IT.Niedersachsen, Hannover
  4. Fresenius Medical Care Deutschland GmbH, Bad Homburg


Anzeige
Top-Angebote
  1. für 8,88€ kaufen + 25% Rabatt auf Teil 2 sichern!
  2. (-67%) 19,99€
  3. (-47%) 31,99€

Folgen Sie uns
       


  1. Lenovo

    Smartphone- und Servergeschäft sorgen für Verlust

  2. Open Source Projekt

    Oracle will Java EE abgeben

  3. Apple iPhone 5s

    Hacker veröffentlicht Secure-Enclave-Key für alte iPhones

  4. Forum

    Reddit bietet native Unterstützung von Videos

  5. Biomimetik

    Drohne landet kontrolliert an senkrechter Wand

  6. Schifffahrt

    Yara Birkeland wird der erste autonome E-Frachter

  7. Erste Tests

    Autonome Rollstühle in Krankenhäusern und Flughäfen erprobt

  8. Firmware

    PS4 verbessert Verwaltung von Familien und Freunden

  9. Galaxy Note 4

    Samsung trägt keine Verantwortung für überhitzte Akkus

  10. Nach Anschlag in Charlottesville

    Nazis raus - aber nur aus PR-Gründen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Threadripper 1950X und 1920X im Test: AMD hat die schnellste Desktop-CPU
Threadripper 1950X und 1920X im Test
AMD hat die schnellste Desktop-CPU
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Ryzen 3 1300X und 1200 im Test Harte Gegner für Intels Core i3

Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho

  1. Re: Geil...

    ckerazor | 14:35

  2. Re: Natürlich war das ein "Terroranschlag"

    der_wahre_hannes | 14:34

  3. Re: Also technisch gesehen...

    Dummer Mensch | 14:34

  4. Re: Kann etwas Enterprise sein wenn es OpenSource...

    My1 | 14:32

  5. Re: Falscher Ansatz?

    Alkhor | 14:32


  1. 13:48

  2. 13:15

  3. 12:55

  4. 12:37

  5. 12:30

  6. 12:00

  7. 11:17

  8. 10:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel