Abo
  • Services:
Anzeige
Entscheidungen über Schwachstellen werden auch künftig im Weißen Haus getroffen.
Entscheidungen über Schwachstellen werden auch künftig im Weißen Haus getroffen. (Bild: Diego Cambiaso/Flickr.com/CC-BY 2.0)

VEP Charter: Trump will etwas transparenter mit Sicherheitslücken umgehen

Entscheidungen über Schwachstellen werden auch künftig im Weißen Haus getroffen.
Entscheidungen über Schwachstellen werden auch künftig im Weißen Haus getroffen. (Bild: Diego Cambiaso/Flickr.com/CC-BY 2.0)

Die USA entwickeln ihren Prozess zum Umgang mit Sicherheitslücken durch die Regierung weiter. Kritikern wird das nicht genügen, trotzdem ist die Veröffentlichung der Vulnerabilities Equities Charter ein Meilenstein.

US-Präsident Donald Trump hat den Vulnerabilities Equities Process überarbeiten lassen, der regeln soll, wie die US-Regierung mit Sicherheitslücken umgeht, die sie selbst in Software findet. Insbesondere die Veröffentlichungen der Hackergruppe Shadow Brokers hatten eine Diskussion darüber ausgelöst, wie viele Schwachstellen die Regierung zu Zwecken der nationalen Sicherheit geheim halten können soll - und unter welchen Voraussetzungen.

Anzeige

Unternehmen wie Microsoft fordern, dass die Regierung alle ihr bekannten Sicherheitslücken umgehend melden müsse, damit Hersteller die Fehler beheben können. Die US-Regierung und Sicherheitsbehörden argumentieren, dass sie in der Lage sein müssten, diese etwa für Geheimdienstoperationen zu nutzen, um die nationale Sicherheit der USA zu gewährleisten.

Präsident Barack Obama hatte daher erstmals den sogenannten Vulnerabilities Equities Process eingeführt, der eine Abwägung zwischen Geheimhaltung und Offenlegung innerhalb der US-Regierung beschreibt. Der Prozess wurde jedoch als ineffektiv und intransparent kritisiert. Unter anderem wird angenommen, dass die USA bereits länger von der kritischen Schwachstelle Heartbleed wussten, ohne Hersteller und Dienstebetreiber zu warnen.

Mit der jetzt vorgestellten sogenannten Vulnerabilities Equities Charter (PDF) soll der Prozess ein besser definiertes institutionelles Gerüst erhalten. Außerdem sollen mehr Behörden und Ministerien in den Abwägungsprozess mit einbezogen werden. Erstmals werden öffentlich auch detaillierte Kriterien für die Abwägung bekannt. Es wird zum Beispiel evaluiert, wie ein betroffenes Produkt genutzt wird und wie schwer es ist, die Sicherheitslücke auszunutzen. Alle Kriterien finden sich in Annex B des Dokumentes.

Eine wichtige Rolle spielt in dem Prozess weiterhin der Nationale Sicherheitsrat (National Security Council, NSC) der im Executive Office des Präsidenten unmittelbar neben dem Weißen Haus untergebracht ist. Unter den beteiligten Behörden finden sich aber auch das Büro des nationalen Geheimdienstdirektors, das Finanzministerium und das US-Außenministerium, das allerdings derzeit in wichtigen Positionen unbesetzt ist. Auch die CIA, das Department of Homeland Security und das Pentagon sind an dem Prozess beteiligt. Das Übergewicht von Einrichtungen mit militärischem und geheimdienstlichem Bezug ist offensichtlich. Weitere Behörden können bei Bedarf hinzugezogen werden.

VEP-Sekretariat wird von der NSA gestellt

Geschaffen wird auch ein VEP-Sekretariat, dessen Mitarbeiter vom Geheimdienst NSA gestellt werden. Als dauerhafter Beauftragter für den VEP wird der Cybersecurity-Beauftragte des Weißen Hauses, Rob Joyce, eingesetzt. Ein jährlicher Bericht soll auf der "niedrigstmöglichen Stufe" eingestuft werden, außerdem soll es eine nicht eingestufte Version des Berichtes als Executive Summary geben.

Wirkliche Transparenz über die gemeldeten und behobenen Schwachstellen wird damit also vermutlich nicht hergestellt werden. Eine Version des Berichtes "kann" aus Gründen der Transparenz an beide Kammern des US-Parlaments versendet werden, heißt es in dem Dokument. Erforderlich ist dieser Schritt also offenbar nicht.

Sicherheitslücken sind für eine Besprechung im Rahmen des Programms qualifiziert, wenn diese "neu entdeckt" und "noch nicht öffentlich bekannt" sind. Gemeint sind also 0-Day-Exploits, die auch noch nicht an anderer Stelle offengelegt wurden.

Alle beteiligten Institutionen versuchen dann, einen Konsens zu finden. Gelingt dies nicht, dann entscheidet das Equities Review Board unter Leitung des Sekretariates, ob die entsprechende Sicherheitslücke offengelegt werden soll oder nicht. Neben einer offiziellen Information der Hersteller sind auch "inoffizielle" Kanäle vorgesehen. Die Informationen über einige der Shadow-Broker-Schwachstellen wurden sehr wahrscheinlich auf diese Art und Weise an Microsoft gemeldet, offiziell bestätigt ist das aber bis heute nicht.

Auch der neue Prozess wird vermutlich nicht dazu führen, dass Kritiker die US-Regierung für glaubwürdiger im Umgang mit Schwachstellen halten. Trotzdem ist ein solches festgeschriebenes Vorgehen bislang in kaum einem anderen Land implementiert - auch nicht in Deutschland. Ähnliche Vorschläge wie in dem aktuellen Papier hatten auch Mitglieder des Kongresses mit dem sogenannten Patch-Act unterbreitet.


eye home zur Startseite
__destruct() 17. Nov 2017

Offensichtlich ist das eine sinnvolle Veränderung. Die kommt nicht einfach so zu Stande...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Bundesinstitut für Risikobewertung (BfR), Berlin
  2. Bulthaup GmbH & Co. KG, Bodenkirchen
  3. Axians IT Solutions GmbH, Düsseldorf, Münster
  4. Norddeutsche Seekabelwerke GmbH & Co. KG, Nordenham bei Bremerhaven


Anzeige
Hardware-Angebote
  1. täglich neue Deals
  2. 849,00€ (UVP € 1.298,99€)

Folgen Sie uns
       


  1. Firefox

    Mozilla verärgert Nutzer mit ungefragter Addon-Installation

  2. Knights Mill

    Intel hat drei Xeon Phi für Deep Learning

  3. Windows 10

    Kritische Lücke in vorinstalliertem Passwortmanager

  4. Kaufberatung

    Die richtige CPU und Grafikkarte

  5. Bandai Namco

    Black Clover und andere Anime-Neuheiten

  6. Panono

    Crowdfunder können Kamera zu Produktionskosten kaufen

  7. Elon Musk

    The Boring Company baut einen Tunnel in Maryland

  8. Chinesischer Anbieter

    NIO will Elektro-SUV mit Wechsel-Akku anbieten

  9. Chipkarten-Hersteller

    Thales übernimmt Gemalto

  10. Porsche

    Betriebsratschef will E-Mails in der Freizeit löschen lassen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Star Wars - Die letzten Jedi: Viel Luke und zu viel Unfug
Star Wars - Die letzten Jedi
Viel Luke und zu viel Unfug
  1. Star Wars Jedi Challenges im Test Lichtschwertwirbeln im Wohnzimmer
  2. Star Wars Neue Trilogie ohne Skywalker und Darth Vader angekündigt
  3. Electronic Arts Entwicklungsneustart für Star Wars Ragtag

360-Grad-Kameras im Vergleich: Alles so schön rund hier
360-Grad-Kameras im Vergleich
Alles so schön rund hier
  1. USB-C DxO zeigt Ansteckkamera für Android-Smartphones
  2. G1 X Mark III Erste Kompaktkamera mit APS-C-Sensor von Canon
  3. Ozo Nokia hat keine Lust mehr auf VR-Hardware

E-Ticket Deutschland bei der BVG: Bewegungspunkt am Straßenstrich
E-Ticket Deutschland bei der BVG
Bewegungspunkt am Straßenstrich
  1. Handy-Ticket in Berlin BVG will Check-in/Be-out-System in Bussen testen
  2. VBB Schwarzfahrer trotz Handy-Ticket

  1. Völliger Unsinn

    HabeHandy | 13:47

  2. Re: Irgendwie glaube ich der Telekom nicht.

    Paule | 13:46

  3. Mal eine Frage zu .local-Zertifikaten

    teris | 13:45

  4. Re: Crapware als Finanzierungsmodell

    mhstar | 13:45

  5. Erfahrung

    Signal77 | 13:44


  1. 13:35

  2. 12:49

  3. 12:32

  4. 12:00

  5. 11:57

  6. 11:26

  7. 11:00

  8. 10:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel