Abo
  • IT-Karriere:

VEP Charter: Trump will etwas transparenter mit Sicherheitslücken umgehen

Die USA entwickeln ihren Prozess zum Umgang mit Sicherheitslücken durch die Regierung weiter. Kritikern wird das nicht genügen, trotzdem ist die Veröffentlichung der Vulnerabilities Equities Charter ein Meilenstein.

Eine Analyse von veröffentlicht am
Entscheidungen über Schwachstellen werden auch künftig im Weißen Haus getroffen.
Entscheidungen über Schwachstellen werden auch künftig im Weißen Haus getroffen. (Bild: Diego Cambiaso/Flickr.com/CC-BY 2.0)

US-Präsident Donald Trump hat den Vulnerabilities Equities Process überarbeiten lassen, der regeln soll, wie die US-Regierung mit Sicherheitslücken umgeht, die sie selbst in Software findet. Insbesondere die Veröffentlichungen der Hackergruppe Shadow Brokers hatten eine Diskussion darüber ausgelöst, wie viele Schwachstellen die Regierung zu Zwecken der nationalen Sicherheit geheim halten können soll - und unter welchen Voraussetzungen.

Stellenmarkt
  1. DASGIP GmbH, Jülich
  2. BSH Hausgeräte GmbH, Traunreut

Unternehmen wie Microsoft fordern, dass die Regierung alle ihr bekannten Sicherheitslücken umgehend melden müsse, damit Hersteller die Fehler beheben können. Die US-Regierung und Sicherheitsbehörden argumentieren, dass sie in der Lage sein müssten, diese etwa für Geheimdienstoperationen zu nutzen, um die nationale Sicherheit der USA zu gewährleisten.

Präsident Barack Obama hatte daher erstmals den sogenannten Vulnerabilities Equities Process eingeführt, der eine Abwägung zwischen Geheimhaltung und Offenlegung innerhalb der US-Regierung beschreibt. Der Prozess wurde jedoch als ineffektiv und intransparent kritisiert. Unter anderem wird angenommen, dass die USA bereits länger von der kritischen Schwachstelle Heartbleed wussten, ohne Hersteller und Dienstebetreiber zu warnen.

Mit der jetzt vorgestellten sogenannten Vulnerabilities Equities Charter (PDF) soll der Prozess ein besser definiertes institutionelles Gerüst erhalten. Außerdem sollen mehr Behörden und Ministerien in den Abwägungsprozess mit einbezogen werden. Erstmals werden öffentlich auch detaillierte Kriterien für die Abwägung bekannt. Es wird zum Beispiel evaluiert, wie ein betroffenes Produkt genutzt wird und wie schwer es ist, die Sicherheitslücke auszunutzen. Alle Kriterien finden sich in Annex B des Dokumentes.

Eine wichtige Rolle spielt in dem Prozess weiterhin der Nationale Sicherheitsrat (National Security Council, NSC) der im Executive Office des Präsidenten unmittelbar neben dem Weißen Haus untergebracht ist. Unter den beteiligten Behörden finden sich aber auch das Büro des nationalen Geheimdienstdirektors, das Finanzministerium und das US-Außenministerium, das allerdings derzeit in wichtigen Positionen unbesetzt ist. Auch die CIA, das Department of Homeland Security und das Pentagon sind an dem Prozess beteiligt. Das Übergewicht von Einrichtungen mit militärischem und geheimdienstlichem Bezug ist offensichtlich. Weitere Behörden können bei Bedarf hinzugezogen werden.

VEP-Sekretariat wird von der NSA gestellt

Geschaffen wird auch ein VEP-Sekretariat, dessen Mitarbeiter vom Geheimdienst NSA gestellt werden. Als dauerhafter Beauftragter für den VEP wird der Cybersecurity-Beauftragte des Weißen Hauses, Rob Joyce, eingesetzt. Ein jährlicher Bericht soll auf der "niedrigstmöglichen Stufe" eingestuft werden, außerdem soll es eine nicht eingestufte Version des Berichtes als Executive Summary geben.

Wirkliche Transparenz über die gemeldeten und behobenen Schwachstellen wird damit also vermutlich nicht hergestellt werden. Eine Version des Berichtes "kann" aus Gründen der Transparenz an beide Kammern des US-Parlaments versendet werden, heißt es in dem Dokument. Erforderlich ist dieser Schritt also offenbar nicht.

Sicherheitslücken sind für eine Besprechung im Rahmen des Programms qualifiziert, wenn diese "neu entdeckt" und "noch nicht öffentlich bekannt" sind. Gemeint sind also 0-Day-Exploits, die auch noch nicht an anderer Stelle offengelegt wurden.

Alle beteiligten Institutionen versuchen dann, einen Konsens zu finden. Gelingt dies nicht, dann entscheidet das Equities Review Board unter Leitung des Sekretariates, ob die entsprechende Sicherheitslücke offengelegt werden soll oder nicht. Neben einer offiziellen Information der Hersteller sind auch "inoffizielle" Kanäle vorgesehen. Die Informationen über einige der Shadow-Broker-Schwachstellen wurden sehr wahrscheinlich auf diese Art und Weise an Microsoft gemeldet, offiziell bestätigt ist das aber bis heute nicht.

Auch der neue Prozess wird vermutlich nicht dazu führen, dass Kritiker die US-Regierung für glaubwürdiger im Umgang mit Schwachstellen halten. Trotzdem ist ein solches festgeschriebenes Vorgehen bislang in kaum einem anderen Land implementiert - auch nicht in Deutschland. Ähnliche Vorschläge wie in dem aktuellen Papier hatten auch Mitglieder des Kongresses mit dem sogenannten Patch-Act unterbreitet.



Anzeige
Top-Angebote
  1. (u. a. Avengers - Infintiy War, Game of Thrones)
  2. (aktuell u. a. Dell PowerEdge T30 Minitower-Server 439,00€, Enermax Gehäuselüfter 2er Pack 29...
  3. ab 152,00€
  4. 59,99€

Adminator 01. Apr 2019

Das ist bei weitem der beste Artikel zum 1. April in der gesamten Presselandschaft. Gro...

__destruct() 17. Nov 2017

Offensichtlich ist das eine sinnvolle Veränderung. Die kommt nicht einfach so zu Stande...


Folgen Sie uns
       


Days Gone - Fazit

In Days Gone sind wir als Rocker Deacon St. John im zerstörten Oregon unterwegs und erleben das ganz große Abenteuer.

Days Gone - Fazit Video aufrufen
Technologie: Warum Roboter in Japan so beliebt sind
Technologie
Warum Roboter in Japan so beliebt sind

Japaner produzieren nicht nur mehr Roboter als jede andere Nation, sie gehen auch selbstverständlicher mit ihnen um. Das liegt an der besonderen Geschichte und Religion des Inselstaats - und an Astro Boy.
Von Miroslav Stimac

  1. Heimautomatisierung Wäschefaltroboter-Hersteller Seven Dreamers ist insolvent
  2. Kreativität Roboterdame Ai-Da soll zeichnen und malen
  3. Automatisierung Roboterhotel entlässt Roboter

Raspi-Tastatur und -Maus im Test: Die Basteltastatur für Bastelrechner
Raspi-Tastatur und -Maus im Test
Die Basteltastatur für Bastelrechner

Für die Raspberry-Pi-Platinen gibt es eine offizielle Tastatur und Maus, passenderweise in Weiß und Rot. Im Test macht die Tastatur einen anständigen Eindruck, die Maus hingegen hat uns eher kaltgelassen. Das Keyboard ist zudem ein guter Ausgangspunkt für Bastelprojekte.
Ein Test von Tobias Költzsch

  1. Bastelcomputer Offizielle Maus und Tastatur für den Raspberry Pi
  2. Kodi mit Raspberry Pi Pimp your Stereoanlage
  3. Betriebssystem Windows 10 on ARM kann auf Raspberry Pi 3 installiert werden

Urheberrechtsreform: Was das Internet nicht vergessen sollte
Urheberrechtsreform
Was das Internet nicht vergessen sollte

Die Reform des europäischen Urheberrechts ist eine Niederlage für viele Netzaktivisten. Zwar sind die Folgen der Richtlinie derzeit kaum absehbar. Doch es sollten die richtigen Lehren aus der jahrelangen Debatte mit den Internetgegnern gezogen werden.
Eine Analyse von Friedhelm Greis

  1. Leistungsschutzrecht VG Media will Milliarden von Google
  2. Urheberrecht Uploadfilter und Leistungsschutzrecht endgültig beschlossen
  3. Urheberrecht Merkel bekräftigt Zustimmung zu Uploadfiltern

    •  /