VEP Charter: Trump will etwas transparenter mit Sicherheitslücken umgehen

US-Präsident Donald Trump hat den Vulnerabilities Equities Process überarbeiten lassen, der regeln soll, wie die US-Regierung mit Sicherheitslücken umgeht, die sie selbst in Software findet. Insbesondere die Veröffentlichungen der Hackergruppe Shadow Brokers hatten eine Diskussion darüber ausgelöst, wie viele Schwachstellen die Regierung zu Zwecken der nationalen Sicherheit geheim halten können soll - und unter welchen Voraussetzungen.

Unternehmen wie Microsoft fordern, dass die Regierung alle ihr bekannten Sicherheitslücken umgehend melden müsse, damit Hersteller die Fehler beheben können. Die US-Regierung und Sicherheitsbehörden argumentieren, dass sie in der Lage sein müssten, diese etwa für Geheimdienstoperationen zu nutzen, um die nationale Sicherheit der USA zu gewährleisten.

Präsident Barack Obama hatte daher erstmals den sogenannten Vulnerabilities Equities Process eingeführt, der eine Abwägung zwischen Geheimhaltung und Offenlegung innerhalb der US-Regierung beschreibt. Der Prozess wurde jedoch als ineffektiv und intransparent kritisiert. Unter anderem wird angenommen, dass die USA bereits länger von der kritischen Schwachstelle Heartbleed wussten, ohne Hersteller und Dienstebetreiber zu warnen.

Mit der jetzt vorgestellten sogenannten Vulnerabilities Equities Charter (PDF) soll der Prozess ein besser definiertes institutionelles Gerüst erhalten. Außerdem sollen mehr Behörden und Ministerien in den Abwägungsprozess mit einbezogen werden. Erstmals werden öffentlich auch detaillierte Kriterien für die Abwägung bekannt. Es wird zum Beispiel evaluiert, wie ein betroffenes Produkt genutzt wird und wie schwer es ist, die Sicherheitslücke auszunutzen. Alle Kriterien finden sich in Annex B des Dokumentes.

Eine wichtige Rolle spielt in dem Prozess weiterhin der Nationale Sicherheitsrat (National Security Council, NSC) der im Executive Office des Präsidenten unmittelbar neben dem Weißen Haus untergebracht ist. Unter den beteiligten Behörden finden sich aber auch das Büro des nationalen Geheimdienstdirektors, das Finanzministerium und das US-Außenministerium, das allerdings derzeit in wichtigen Positionen unbesetzt ist. Auch die CIA, das Department of Homeland Security und das Pentagon sind an dem Prozess beteiligt. Das Übergewicht von Einrichtungen mit militärischem und geheimdienstlichem Bezug ist offensichtlich. Weitere Behörden können bei Bedarf hinzugezogen werden.

VEP-Sekretariat wird von der NSA gestellt

Geschaffen wird auch ein VEP-Sekretariat, dessen Mitarbeiter vom Geheimdienst NSA gestellt werden. Als dauerhafter Beauftragter für den VEP wird der Cybersecurity-Beauftragte des Weißen Hauses, Rob Joyce, eingesetzt. Ein jährlicher Bericht soll auf der "niedrigstmöglichen Stufe" eingestuft werden, außerdem soll es eine nicht eingestufte Version des Berichtes als Executive Summary geben.

Wirkliche Transparenz über die gemeldeten und behobenen Schwachstellen wird damit also vermutlich nicht hergestellt werden. Eine Version des Berichtes "kann" aus Gründen der Transparenz an beide Kammern des US-Parlaments versendet werden, heißt es in dem Dokument. Erforderlich ist dieser Schritt also offenbar nicht.

Sicherheitslücken sind für eine Besprechung im Rahmen des Programms qualifiziert, wenn diese "neu entdeckt" und "noch nicht öffentlich bekannt" sind. Gemeint sind also 0-Day-Exploits, die auch noch nicht an anderer Stelle offengelegt wurden.

Alle beteiligten Institutionen versuchen dann, einen Konsens zu finden. Gelingt dies nicht, dann entscheidet das Equities Review Board unter Leitung des Sekretariates, ob die entsprechende Sicherheitslücke offengelegt werden soll oder nicht. Neben einer offiziellen Information der Hersteller sind auch "inoffizielle" Kanäle vorgesehen. Die Informationen über einige der Shadow-Broker-Schwachstellen wurden sehr wahrscheinlich auf diese Art und Weise an Microsoft gemeldet, offiziell bestätigt ist das aber bis heute nicht.

Auch der neue Prozess wird vermutlich nicht dazu führen, dass Kritiker die US-Regierung für glaubwürdiger im Umgang mit Schwachstellen halten. Trotzdem ist ein solches festgeschriebenes Vorgehen bislang in kaum einem anderen Land implementiert - auch nicht in Deutschland. Ähnliche Vorschläge wie in dem aktuellen Papier hatten auch Mitglieder des Kongresses mit dem sogenannten Patch-Act unterbreitet.