Abo
  • IT-Karriere:

VEP Charter: Trump will etwas transparenter mit Sicherheitslücken umgehen

Die USA entwickeln ihren Prozess zum Umgang mit Sicherheitslücken durch die Regierung weiter. Kritikern wird das nicht genügen, trotzdem ist die Veröffentlichung der Vulnerabilities Equities Charter ein Meilenstein.

Eine Analyse von veröffentlicht am
Entscheidungen über Schwachstellen werden auch künftig im Weißen Haus getroffen.
Entscheidungen über Schwachstellen werden auch künftig im Weißen Haus getroffen. (Bild: Diego Cambiaso/Flickr.com/CC-BY 2.0)

US-Präsident Donald Trump hat den Vulnerabilities Equities Process überarbeiten lassen, der regeln soll, wie die US-Regierung mit Sicherheitslücken umgeht, die sie selbst in Software findet. Insbesondere die Veröffentlichungen der Hackergruppe Shadow Brokers hatten eine Diskussion darüber ausgelöst, wie viele Schwachstellen die Regierung zu Zwecken der nationalen Sicherheit geheim halten können soll - und unter welchen Voraussetzungen.

Stellenmarkt
  1. Advanced Business Computer Consult GmbH, Volxheim
  2. Universität Konstanz, Konstanz

Unternehmen wie Microsoft fordern, dass die Regierung alle ihr bekannten Sicherheitslücken umgehend melden müsse, damit Hersteller die Fehler beheben können. Die US-Regierung und Sicherheitsbehörden argumentieren, dass sie in der Lage sein müssten, diese etwa für Geheimdienstoperationen zu nutzen, um die nationale Sicherheit der USA zu gewährleisten.

Präsident Barack Obama hatte daher erstmals den sogenannten Vulnerabilities Equities Process eingeführt, der eine Abwägung zwischen Geheimhaltung und Offenlegung innerhalb der US-Regierung beschreibt. Der Prozess wurde jedoch als ineffektiv und intransparent kritisiert. Unter anderem wird angenommen, dass die USA bereits länger von der kritischen Schwachstelle Heartbleed wussten, ohne Hersteller und Dienstebetreiber zu warnen.

Mit der jetzt vorgestellten sogenannten Vulnerabilities Equities Charter (PDF) soll der Prozess ein besser definiertes institutionelles Gerüst erhalten. Außerdem sollen mehr Behörden und Ministerien in den Abwägungsprozess mit einbezogen werden. Erstmals werden öffentlich auch detaillierte Kriterien für die Abwägung bekannt. Es wird zum Beispiel evaluiert, wie ein betroffenes Produkt genutzt wird und wie schwer es ist, die Sicherheitslücke auszunutzen. Alle Kriterien finden sich in Annex B des Dokumentes.

Eine wichtige Rolle spielt in dem Prozess weiterhin der Nationale Sicherheitsrat (National Security Council, NSC) der im Executive Office des Präsidenten unmittelbar neben dem Weißen Haus untergebracht ist. Unter den beteiligten Behörden finden sich aber auch das Büro des nationalen Geheimdienstdirektors, das Finanzministerium und das US-Außenministerium, das allerdings derzeit in wichtigen Positionen unbesetzt ist. Auch die CIA, das Department of Homeland Security und das Pentagon sind an dem Prozess beteiligt. Das Übergewicht von Einrichtungen mit militärischem und geheimdienstlichem Bezug ist offensichtlich. Weitere Behörden können bei Bedarf hinzugezogen werden.

VEP-Sekretariat wird von der NSA gestellt

Geschaffen wird auch ein VEP-Sekretariat, dessen Mitarbeiter vom Geheimdienst NSA gestellt werden. Als dauerhafter Beauftragter für den VEP wird der Cybersecurity-Beauftragte des Weißen Hauses, Rob Joyce, eingesetzt. Ein jährlicher Bericht soll auf der "niedrigstmöglichen Stufe" eingestuft werden, außerdem soll es eine nicht eingestufte Version des Berichtes als Executive Summary geben.

Wirkliche Transparenz über die gemeldeten und behobenen Schwachstellen wird damit also vermutlich nicht hergestellt werden. Eine Version des Berichtes "kann" aus Gründen der Transparenz an beide Kammern des US-Parlaments versendet werden, heißt es in dem Dokument. Erforderlich ist dieser Schritt also offenbar nicht.

Sicherheitslücken sind für eine Besprechung im Rahmen des Programms qualifiziert, wenn diese "neu entdeckt" und "noch nicht öffentlich bekannt" sind. Gemeint sind also 0-Day-Exploits, die auch noch nicht an anderer Stelle offengelegt wurden.

Alle beteiligten Institutionen versuchen dann, einen Konsens zu finden. Gelingt dies nicht, dann entscheidet das Equities Review Board unter Leitung des Sekretariates, ob die entsprechende Sicherheitslücke offengelegt werden soll oder nicht. Neben einer offiziellen Information der Hersteller sind auch "inoffizielle" Kanäle vorgesehen. Die Informationen über einige der Shadow-Broker-Schwachstellen wurden sehr wahrscheinlich auf diese Art und Weise an Microsoft gemeldet, offiziell bestätigt ist das aber bis heute nicht.

Auch der neue Prozess wird vermutlich nicht dazu führen, dass Kritiker die US-Regierung für glaubwürdiger im Umgang mit Schwachstellen halten. Trotzdem ist ein solches festgeschriebenes Vorgehen bislang in kaum einem anderen Land implementiert - auch nicht in Deutschland. Ähnliche Vorschläge wie in dem aktuellen Papier hatten auch Mitglieder des Kongresses mit dem sogenannten Patch-Act unterbreitet.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

Adminator 01. Apr 2019

Das ist bei weitem der beste Artikel zum 1. April in der gesamten Presselandschaft. Gro...

__destruct() 17. Nov 2017

Offensichtlich ist das eine sinnvolle Veränderung. Die kommt nicht einfach so zu Stande...


Folgen Sie uns
       


FX Tec Pro 1 - Hands on

Das Pro 1 von FX Tec ist ein Smartphone mit eingebauter Hardware-Tastatur. Der Slide-Mechanismus macht im ersten Kurztest von Golem.de einen sehr guten Eindruck.

FX Tec Pro 1 - Hands on Video aufrufen
Mobile-Games-Auslese: Superheld und Schlapphutträger zu Besuch im Smartphone
Mobile-Games-Auslese
Superheld und Schlapphutträger zu Besuch im Smartphone

Markus Fenix aus Gears of War kämpft in Gears Pop gegen fiese (Knuddel-)Aliens und der Typ in Tombshaft erinnert an Indiana Jones: In Mobile Games tummelt sich derzeit echte und falsche Prominenz.
Von Rainer Sigl

  1. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs
  2. Dr. Mario World im Test Spielspaß für Privatpatienten
  3. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß

Serielle Hybride: Unterschätzte Zwischenlösung oder längst überholt?
Serielle Hybride
Unterschätzte Zwischenlösung oder längst überholt?

Die reine E-Mobilität kommt nicht so schnell voran, wie es Klimaziele und Luftreinhaltepläne erfordern. Doch viele Fahrzeughersteller stellen derweil eine vergleichsweise simple Technologie auf die Räder, die für eine Zukunft ohne fossile Kraftstoffe Erkenntnisse liefern kann.
Von Mattias Schlenker

  1. ADAC Keyless-Go bietet Autofahrern keine Sicherheit
  2. Gesetzentwurf beschlossen Regierung verlängert Steuervorteile für Elektroautos
  3. Cabrio Renault R4 Plein Air als Elektro-Retroauto

Dick Pics: Penis oder kein Penis?
Dick Pics
Penis oder kein Penis?

Eine Studentin arbeitet an einer Software, die automatisch Bilder von Penissen aus Direktnachrichten filtert. Wer mithelfen will, kann ihr Testobjekte schicken.
Ein Bericht von Fabian A. Scherschel

  1. Medienbericht US-Regierung will soziale Netzwerke stärker überwachen
  2. Soziales Netzwerk Openbook heißt jetzt Okuna
  3. EU-Wahl Spitzenkandidat Manfred Weber für Klarnamenpflicht im Netz

    •  /