• IT-Karriere:
  • Services:

VEP Charter: Trump will etwas transparenter mit Sicherheitslücken umgehen

Die USA entwickeln ihren Prozess zum Umgang mit Sicherheitslücken durch die Regierung weiter. Kritikern wird das nicht genügen, trotzdem ist die Veröffentlichung der Vulnerabilities Equities Charter ein Meilenstein.

Eine Analyse von veröffentlicht am
Entscheidungen über Schwachstellen werden auch künftig im Weißen Haus getroffen.
Entscheidungen über Schwachstellen werden auch künftig im Weißen Haus getroffen. (Bild: Diego Cambiaso/Flickr.com/CC-BY 2.0)

US-Präsident Donald Trump hat den Vulnerabilities Equities Process überarbeiten lassen, der regeln soll, wie die US-Regierung mit Sicherheitslücken umgeht, die sie selbst in Software findet. Insbesondere die Veröffentlichungen der Hackergruppe Shadow Brokers hatten eine Diskussion darüber ausgelöst, wie viele Schwachstellen die Regierung zu Zwecken der nationalen Sicherheit geheim halten können soll - und unter welchen Voraussetzungen.

Stellenmarkt
  1. Knappschaft Kliniken Service GmbH, Bottrop
  2. M-net Telekommunikations GmbH, München

Unternehmen wie Microsoft fordern, dass die Regierung alle ihr bekannten Sicherheitslücken umgehend melden müsse, damit Hersteller die Fehler beheben können. Die US-Regierung und Sicherheitsbehörden argumentieren, dass sie in der Lage sein müssten, diese etwa für Geheimdienstoperationen zu nutzen, um die nationale Sicherheit der USA zu gewährleisten.

Präsident Barack Obama hatte daher erstmals den sogenannten Vulnerabilities Equities Process eingeführt, der eine Abwägung zwischen Geheimhaltung und Offenlegung innerhalb der US-Regierung beschreibt. Der Prozess wurde jedoch als ineffektiv und intransparent kritisiert. Unter anderem wird angenommen, dass die USA bereits länger von der kritischen Schwachstelle Heartbleed wussten, ohne Hersteller und Dienstebetreiber zu warnen.

Mit der jetzt vorgestellten sogenannten Vulnerabilities Equities Charter (PDF) soll der Prozess ein besser definiertes institutionelles Gerüst erhalten. Außerdem sollen mehr Behörden und Ministerien in den Abwägungsprozess mit einbezogen werden. Erstmals werden öffentlich auch detaillierte Kriterien für die Abwägung bekannt. Es wird zum Beispiel evaluiert, wie ein betroffenes Produkt genutzt wird und wie schwer es ist, die Sicherheitslücke auszunutzen. Alle Kriterien finden sich in Annex B des Dokumentes.

Eine wichtige Rolle spielt in dem Prozess weiterhin der Nationale Sicherheitsrat (National Security Council, NSC) der im Executive Office des Präsidenten unmittelbar neben dem Weißen Haus untergebracht ist. Unter den beteiligten Behörden finden sich aber auch das Büro des nationalen Geheimdienstdirektors, das Finanzministerium und das US-Außenministerium, das allerdings derzeit in wichtigen Positionen unbesetzt ist. Auch die CIA, das Department of Homeland Security und das Pentagon sind an dem Prozess beteiligt. Das Übergewicht von Einrichtungen mit militärischem und geheimdienstlichem Bezug ist offensichtlich. Weitere Behörden können bei Bedarf hinzugezogen werden.

VEP-Sekretariat wird von der NSA gestellt

Geschaffen wird auch ein VEP-Sekretariat, dessen Mitarbeiter vom Geheimdienst NSA gestellt werden. Als dauerhafter Beauftragter für den VEP wird der Cybersecurity-Beauftragte des Weißen Hauses, Rob Joyce, eingesetzt. Ein jährlicher Bericht soll auf der "niedrigstmöglichen Stufe" eingestuft werden, außerdem soll es eine nicht eingestufte Version des Berichtes als Executive Summary geben.

Wirkliche Transparenz über die gemeldeten und behobenen Schwachstellen wird damit also vermutlich nicht hergestellt werden. Eine Version des Berichtes "kann" aus Gründen der Transparenz an beide Kammern des US-Parlaments versendet werden, heißt es in dem Dokument. Erforderlich ist dieser Schritt also offenbar nicht.

Sicherheitslücken sind für eine Besprechung im Rahmen des Programms qualifiziert, wenn diese "neu entdeckt" und "noch nicht öffentlich bekannt" sind. Gemeint sind also 0-Day-Exploits, die auch noch nicht an anderer Stelle offengelegt wurden.

Alle beteiligten Institutionen versuchen dann, einen Konsens zu finden. Gelingt dies nicht, dann entscheidet das Equities Review Board unter Leitung des Sekretariates, ob die entsprechende Sicherheitslücke offengelegt werden soll oder nicht. Neben einer offiziellen Information der Hersteller sind auch "inoffizielle" Kanäle vorgesehen. Die Informationen über einige der Shadow-Broker-Schwachstellen wurden sehr wahrscheinlich auf diese Art und Weise an Microsoft gemeldet, offiziell bestätigt ist das aber bis heute nicht.

Auch der neue Prozess wird vermutlich nicht dazu führen, dass Kritiker die US-Regierung für glaubwürdiger im Umgang mit Schwachstellen halten. Trotzdem ist ein solches festgeschriebenes Vorgehen bislang in kaum einem anderen Land implementiert - auch nicht in Deutschland. Ähnliche Vorschläge wie in dem aktuellen Papier hatten auch Mitglieder des Kongresses mit dem sogenannten Patch-Act unterbreitet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 28,99€
  2. (u. a. Code Vein - Deluxe Edition für 23,99€, Railway Empire - Complete Collection für 23...
  3. 9,29€

Adminator 01. Apr 2019

Das ist bei weitem der beste Artikel zum 1. April in der gesamten Presselandschaft. Gro...

__destruct() 17. Nov 2017

Offensichtlich ist das eine sinnvolle Veränderung. Die kommt nicht einfach so zu Stande...


Folgen Sie uns
       


Purism Librem 5 - Test

Das Librem 5 ist ein Linux-Smartphone, das den Namen wirklich verdient. Das Gerät enttäuscht aber selbst hartgesottene Linuxer.

Purism Librem 5 - Test Video aufrufen
The Legend of Zelda: Das Vorbild für alle Action-Adventures
The Legend of Zelda
Das Vorbild für alle Action-Adventures

The Legend of Zelda von 1986 hat das Genre geprägt. Wir haben den 8-Bit-Klassiker erneut gespielt - und waren hin- und hergerissen.
Von Benedikt Plass-Fleßenkämper


    Wissen für ITler: 11 tolle Tech-Podcasts
    Wissen für ITler
    11 tolle Tech-Podcasts

    Die Menge an Tech-Podcasts ist schier unüberschaubar. Wir haben ein paar Empfehlungen, die die Zeit wert sind.
    Von Dennis Kogel


      Videokonferenzen: Bessere Webcams, bitte!
      Videokonferenzen
      Bessere Webcams, bitte!

      Warum sehen in Videokonferenzen immer alle schlecht aus? Die Webcam-Hersteller sind (oft) schuld.
      Ein IMHO von Martin Wolf

      1. Webcam im Eigenbau Mit wenigen Handgriffen wird die Pi HQ Cam zur USB-Kamera

        •  /