Abo
  • Services:

IT-Sicherheitsgesetz: BSI soll Sicherheitslücken nicht geheim halten

Das BSI soll Zero-Day-Exploits nicht nur sammeln, sondern auch veröffentlichen. Nur so könnten sich Unternehmen und Privatpersonen gegen die ständig zunehmenden IT-Angriffe schützen, fordert Hartmut Pohl von der Gesellschaft für Informatik.

Artikel veröffentlicht am ,
Der Heartbleed-Bug
Der Heartbleed-Bug (Bild: EFF)

Die Gesellschaft für Informatik kritisiert, dass in dem der Bundesregierung vorgelegten Entwurf des IT-Sicherheitsgesetzes das Problem der unveröffentlichten Sicherheitslücken (Zero-Day-Exploits) nicht gelöst sei. Diese sollen auch künftig nicht veröffentlicht werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) habe nach dem Gesetz zwar die Aufgabe, Sicherheitslücken zu sammeln und auszuwerten, muss sie aber nicht veröffentlichen.

Stellenmarkt
  1. Versicherungskammer Bayern, Saarbrücken
  2. Bosch Software Innovations GmbH, Waiblingen

70 der weltgrößten Softwareunternehmen würden die Veröffentlichung bislang nicht erkannter Sicherheitslücken fördern. Hartmut Pohl, Sprecher des Arbeitskreises Datenschutz und IT-Sicherheit der Gesellschaft für Informatik, erklärte: "Zur Erreichung eines angemessenen Sicherheitsniveaus - insbesondere in den Unternehmen der kritischen Infrastrukturen - ist die Veröffentlichung der den Sicherheitsbehörden bekannten bislang unveröffentlichten Sicherheitslücken unverzichtbar. Nur so können sich Unternehmen und Privatpersonen nachhaltig gegen die ständig zunehmenden IT-Angriffe schützen."

Durch das Ausnutzen von Sicherheitslücken würden Hacking-Angriffe, Phishing-Attacken, Wirtschaftsspionage und -sabotage erst möglich. Laut Pohl verdiene die international organisierte Kriminalität "Milliarden mit dem Handel unveröffentlichter Sicherheitslücken auf dem schwarzen Markt."

Das BSI hatte dem Spiegel mitgeteilt, es habe "bis September 2014" einen Vertrag mit der französischen Firma Vupen unterhalten. Dabei sei es "ausschließlich" um "den Schutz der Regierungsnetze" gegangen. Vupen hatte im Jahr 2011 damit geworben, exklusive, noch unbekannte Exploits liefern zu können.

Der Geheimdienst BND (Bundesnachrichtendienst) hat laut einem Bericht vor, Zero Day Exploits einzukaufen. Das Projekt mit dem Codenamen Nitidezza (italienisch: Bildschärfe) sei Teil der "Strategischen Initiative Technik". Der Chaos Computer Club warnte davor. So würde der Anreiz steigen, aufgespürte Sicherheitslücken im Geheimen zu handeln und gezielt vermeintlich harmlose Fehler in kritische Softwarekomponenten einzubauen.



Anzeige
Top-Angebote
  1. 299€ + 4,99€ Versand oder Abholung im Markt
  2. 0,00€
  3. ab 1.119€ (Ersparnis: 310€)
  4. für 109,99€ statt 189,99€ (Neupreis) und 32 GB für 139,99€ statt 219,99€ (Neupreis)

Moe479 18. Nov 2014

und dann erheben sie die hände und singen, dass sie unfähig sind und dringend staatliche...


Folgen Sie uns
       


Golem.de lässt Alexa schlecht lachen und rappen

Alexa kann komisch lachen und schlecht rappen - wie man im Video hört.

Golem.de lässt Alexa schlecht lachen und rappen Video aufrufen
Razer Nommo Chroma im Test: Blinkt viel, klingt weniger
Razer Nommo Chroma im Test
Blinkt viel, klingt weniger

Wenn die Razer Nommo Chroma eines sind, dann auffällig. Dafür sorgen die ungewöhnliche Form und die LED-Ringe, die sich beliebig konfigurieren lassen. Die Lautsprecher sind aber eher ein Hingucker als ein Hinhörer.
Ein Test von Oliver Nickel

  1. Razer Kiyo und Seiren X im Test Nicht professionell, aber schnell im Einsatz
  2. Stereolautsprecher Razer Nommo "Sind das Haartrockner?"
  3. Nextbit Cloud-Speicher für Robin-Smartphone wird abgeschaltet

Digitalfotografie: Inkonsistentes Rauschen verrät den Fälscher
Digitalfotografie
Inkonsistentes Rauschen verrät den Fälscher

War der Anhänger wirklich so groß wie der Ring? Versucht da gerade einer, die Versicherung zu betuppen? Wenn Omas Erbstück geklaut wurde, muss die Versicherung wohl dem Digitalfoto des Geschädigten glauben. Oder sie engagiert einen Bildforensiker, der das Foto darauf untersucht, ob es bearbeitet wurde.
Ein Bericht von Werner Pluta

  1. iOS und Android Google lanciert drei experimentelle Foto-Apps
  2. Aufstecksucher für TL2 Entwarnung bei Leica

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

    •  /