Abo
  • Services:
Anzeige
Der Umgang der NSA mit Sicherheitslücken soll strenger kontrolliert werden.
Der Umgang der NSA mit Sicherheitslücken soll strenger kontrolliert werden. (Bild: Douglas C. Pizac/Greenpeace)

Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?

Der Umgang der NSA mit Sicherheitslücken soll strenger kontrolliert werden.
Der Umgang der NSA mit Sicherheitslücken soll strenger kontrolliert werden. (Bild: Douglas C. Pizac/Greenpeace)

Wie nach einem schwerwiegenden IT-Sicherheitsvorfall üblich sollen die Probleme rund um Wanna Cry politisch bekämpft werden. In den USA soll dafür der Umgang der Geheimdienste mit Sicherheitslücken neu geregelt werden, andere Politiker fodern: Lasst Unternehmen hacken!
Von Hauke Gierow

Nach dem Wanna-Cry-Angriff ist in den USA erneut eine Debatte um den Umgang mit Sicherheitslücken durch die Sicherheitsbehörden des Landes aufgekommen. Die bei den Angriffen genutzten Exploits stammen aus dem Bestand der NSA und wurden offenbar jahrelang aktiv für Angriffe genutzt, möglicherweise schon vor dem Support-Ende von Windows XP. Die Schwachstellen wurden von einer Hackergruppe mit dem Namen Shadow Brokers veröffentlicht, zuvor hatte die Gruppe versucht, die Informationen gegen Geld zu versteigern.

Anzeige

Politiker und die IT-Sicherheits-Community versuchen nun, eine Antwort auf die rasante weltweite Verbreitung der Malware zu finden. Dabei sollen auch Sicherheitsbehörden wie Geheimdienste zur Verantwortung gezogen werden - denn sie besitzen oft selbst Exploits. Andere fordern: Lasst die Unternehmen zurückhacken. In Zukunft soll es klare Regeln geben, an die sich die Dienste und Unternehmen halten sollen, um weniger Ad-Hoc-Entscheidungen treffen zu müssen.

Im Falle der Shadow-Broker-Exploits traf die NSA offenbar eine solche Ad-Hoc-Entscheidung und meldete die in der Wanna-Cry-Kampagne genutzten Schwachstellen wie Eternalblue und Doublepulsar an Microsoft. Allerdings erst nachdem klar war, dass die Shadow Broker die entsprechenden Informationen in ihrem Besitz hatten. Die NSA fand über die Jahre offenbar Gefallen an der Effektivität der Exploits. Es sei "wie Fischen mit Sprengstoff", sollen Mitarbeiter des Dienstes gesagt haben.

Immerhin hatte Microsoft so die Chance, die Schwachstellen zu patchen, bevor die Exploits selbst von der Gruppe veröffentlicht wurden. Offiziell bestätigen wollte die NSA die Weitergabe der Informationen bislang allerdings nicht, die Washington Post bezog sich in ihrer Berichterstattung auf mehrere anonyme Quellen.

Der US-Senator Brian Schatz will das Problem der durch Behörden gehorteten Sicherheitslücken daher mit einem neuen Gesetzesvorschlag angehen, der die Abkürzung Patch-Act trägt. Der volle Titel lautet: Gesetz für die Möglichkeit, Hackern entgegenzutreten (Protecting Our Ability to Counter Hacking Act, PDF). Mit dem Gesetz soll der in den USA bereits existierende Vulnerabilities Equities Prozess zum Melden von Sicherheitslücken durch staatliche Behörden um ein verbindliches Gremium ergänzt werden.

Der Vulnerabilities Equities Act

Anhand verschiedener Kriterien sollen Behörden bereits heute entscheiden, ob eine der Regierung bekannte Sicherheitslücke durch Behörden wie die NSA ausgenutzt werden darf oder an den Hersteller gemeldet werden muss, damit dieser die Schwachstelle schließt. Nicht alle Schwachstellen findet die Regierung selbst, einige werden direkt von Hackern für zum Teil erhebliche Summen eingekauft. Im Jahr 2013 soll allein die NSA 25 Millionen US-Dollar für entsprechende Ankäufe ausgegeben haben.

Der Prozess selbst wurde nach jahrelangen Beratungen durch den ehemaligen US-Präsidenten Barack Obama mit der National Security Policy Directive Nummer 54 eingerichtet [PDF]. Bislang werden Sicherheitslücken zwar schon intern gemeldet, und es wird diskutiert, ob diese an den Hersteller weitergegeben werden. Der Prozess basiert allerdings nur auf einem Dekret und hat keine Gesetzeskraft.

Besonders strenge Maßstäbe legen sich die Beteiligten dabei bislang offenbar nicht auf - das will Schatz mit seinem Entwurf ändern. Künftig soll das sogenannte Vulnerabilities Equities Review Board als dauerhafte Institution mit gesetzlicher Basis eingerichtet werden, wenn beide Parlamentskammern dem Gesetz zustimmen.

Geheimdienste entscheiden über die Veröffentlichung 

eye home zur Startseite
Jack0fAllRaids 29. Mai 2017

FU, den selben Gedanken hatte ich grade auch, umsonst im Nachbarkommentar getippt...

Themenstart

Jack0fAllRaids 29. Mai 2017

Ich stelle mir grad einen DDOS Angriff von massenhaft gehackten IOT Geräten vor in so...

Themenstart

matzems 27. Mai 2017

Der Vorwurf ist auch durchaus sinnvoll. Wenn ich NSA Cheff wäre, würde ich mir genau so...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. GK Software AG, St. Ingbert, Schöneck, Köln
  2. Takata Ignition Systems GmbH, Schönebeck
  3. Generaldirektion der Staatlichen Archive Bayerns, München
  4. Schaeffler Technologies AG & Co. KG, Herzogenaurach


Anzeige
Spiele-Angebote
  1. 15,51€ (ohne Prime bzw. unter 29€ Einkauf + 3 Versand)
  2. PC 59,99€, PS4 69,99€ oder Ronaldo Edition 89,99€
  3. ab 59,98€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Augmented Reality

    Cast AR trotz Valve-Technologietransfer am Ende

  2. Online-Banking

    Zahlungsdienste der Commerzbank ausgefallen

  3. Fritz-Labor-Version

    AVM baut Mesh-WLAN in seine Router und Repeater ein

  4. Smartphone

    Der Verkauf des Oneplus Five beginnt

  5. Sprint

    Milliardenfusion der Telekom in USA wird noch größer

  6. Aruba HPE

    Indoor-Tracking leicht gemacht

  7. Messaging

    Google Talk wird durch Hangouts abgelöst

  8. Eyetracking

    Apple soll brandenburgische Firma Sensomotoric gekauft haben

  9. Forschungsprogramm

    Apple least Autos für autonomes Fahren bei Hertz

  10. Apple

    Öffentliche Beta von iOS 11 erschienen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mesh- und Bridge-Systeme in der Praxis: Mehr WLAN-Access-Points, mehr Spaß
Mesh- und Bridge-Systeme in der Praxis
Mehr WLAN-Access-Points, mehr Spaß
  1. Eero 2.0 Neues Mesh-WLAN-System kann sich auch per Kabel vernetzen
  2. BVG Fast alle Berliner U-Bahnhöfe haben offenes WLAN
  3. Broadcom-Sicherheitslücke Vom WLAN-Chip das Smartphone übernehmen

Neues iPad Pro im Test: Von der Hardware her ein Laptop
Neues iPad Pro im Test
Von der Hardware her ein Laptop
  1. iFixit iPad Pro 10,5 Zoll intern ein geschrumpftes 12,9 Zoll Modell
  2. Office kostenpflichtig Das iPad Pro 10,5 Zoll ist Microsoft zu groß
  3. Hintergrundbeleuchtung Logitech bringt Hülle mit abnehmbarer Tastatur für iPad Pro

Oneplus Five im Test: Der Oneplus-Nimbus verblasst - ein bisschen
Oneplus Five im Test
Der Oneplus-Nimbus verblasst - ein bisschen

  1. Re: Repeater 1750E per LAN anschließen?

    georg2006 | 10:49

  2. "Sensomotoric Instruments" heißen die. kt

    otraupe | 10:47

  3. Re: ALB- oder ALPTRAUM?

    gadthrawn | 10:45

  4. Re: Wie Nintendo seine Switch ignoriert...

    elcravo | 10:44

  5. Re: Welche Wirkung hat dies den über das konkrete...

    Oktavian | 10:42


  1. 10:59

  2. 10:44

  3. 10:27

  4. 09:47

  5. 09:41

  6. 09:31

  7. 08:48

  8. 08:23


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel