Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

Von der UN-Norm zur Praxis: : Responsible Vulnerability Disclosure : Wie Staaten das verantwortungsvolle Offenlegen von Schwachstellen begünstigen können

Anleitungen zum „Responsible Disclosure“, also dem verantwortungsvollen Umgang mit Informationen zu (neuen) Schwachstellen, gibt es schon lange – Nationalstaaten sind etwa durch den Bericht einer Expertengruppe der UN aufgefordert, hierfür zu sorgen. Der vorliegende Artikel geht der Frage nach, warum dieser Standard auch zehn Jahre nach seiner Verabschiedung vielerorts nur rudimentär umgesetzt wurde – und was konkret nötig ist, um daran etwas zu ändern. Der Fokus liegt einerseits auf den Konflikten, die Regierungen an einer besseren Kooperation hindern, sowie andererseits auf den Voraussetzungen und praktischen Möglichkeiten für Staaten, die ihre Cybersicherheits-Governance an internationalen Normen ausrichten wollen.

Sven HerpigBedrohungenManagement und WissenResponsible DisclosureSecurity-Management
Lesezeit 5 Min.

Vor ziemlich genau einem Jahrzehnt hat die UN Group of Governmental Experts (GGE) einen völkerrechtlich nicht bindenden, aber politisch bedeutsamen Maßstab für verantwortungsvolles staatliches Verhalten im Cyberraum vorgelegt. Teil dieser von der UN-Vollversammlung empfohlenen internationalen Standards ist auch die „Norm J“ [1,2]: Diese fordert Regierungen auf, Schwachstellen in informations- und kommunikationstechnischen Systemen (IKT) verantwortungsvoll offenzulegen und Informationen über verfügbare Abhilfemaßnahmen zu teilen – mit dem Ziel, die kollektive Cybersicherheit zu stärken und das Risiko eskalierender Cyberkonflikte zu verringern.

Schwachstellen sind als kritische Angriffsfläche im digitalen Raum längst nicht mehr nur ein technisches Risiko, sondern auch ein geopolitisches Machtinstrument: Ihre Entdeckung, Geheimhaltung oder Offenlegung hat häufig strategische Gründe. Daraus ergibt sich ein Dilemma: Staaten, die Schwachstellen kennen, müssen abwägen, ob sie diese zum Schutz von IT-Systemen offenlegen, damit Hersteller Schutzmaßnahmen bereitstellen können, oder ob sie die Schwachstellen geheim halten und in eigenen Cyber-Operations nutzen wollen. Damit bleiben dann jedoch alle betroffenen IT-Systeme weltweit verwundbar.

Vor diesem Hintergrund ist Schwachstellenpolitik kein rein technisches Thema, sondern eine Frage außen- und sicherheitspolitischer Verantwortung. Eine moderne Cyber-Außen- und Sicherheitspolitik sollte deshalb unbedingt auch einen verantwortungsvollen Umgang mit Softwarefehlern vorantreiben – gerade auch ein koordiniertes Offenlegen im Schulterschluss mit Forschung, Industrie und Zivilgesellschaft.

Koordinierte Offenlegung

Einer der wichtigsten und am breitesten akzeptierten Mechanismen zur Umsetzung von Norm J ist die sogenannte Coordinated Vulnerability Disclosure (CVD). CVD bezeichnet ein strukturiertes Verfahren, bei dem Entdecker* von Schwachstellen – häufig Sicherheitsforscher – in einem definierten, rechtlich abgesicherten und (im Notfall) durch einen neutralen Koordinator vermittelten Prozess die Hersteller und betroffenen Stellen informieren, bevor sie eine Schwachstelle veröffentlichen. Das Ziel ist hierbei, Schwachstellen so risikomindernd wie möglich zu beheben, bevor sie ausgenutzt werden können.

Dabei zeigt sich: CVD ist nicht nur eine technische Herausforderung, sondern stark abhängig von der Ausgestaltung nationaler Governance. Ungünstige rechtliche Rahmenbedingungen, institutionelle Unsicherheit und eine unklare Rollenverteilung hemmen häufig eine effektive Implementierung.

Wie Realpolitik den Umgang mit Schwachstellen beeinflusst

Unterschiedliche Vorstellungen von guter Cyberdiplomatie und geopolitische Spannungen erschweren die Umsetzung von Norm J zusätzlich. Westliche Demokratien bemühen sich üblicherweise, Normen kooperativ umzusetzen – in Europa etwa über die NIS-2-Richtlinie und die Rolle der EU-Agentur für Cybersicherheit ENISA als Vergabestelle für die gemeinsame Nummerierung von Schwachstellen (CVE Numbering Authority – CNA).

Autoritäre Staaten verfolgen indessen meist entgegengesetzte Agenden: Das prominenteste Beispiel ist die Volksrepublik China, wo Schwachstellenfunde binnen 48 Stunden an staatliche Stellen gemeldet und in einem intransparenten System verarbeitet werden (müssen). Kritische Stimmen werfen Peking vor, Schwachstellen primär für offensive Zwecke geheim zu halten.

Demgegenüber mangelt es in liberalen Demokratien oft weniger an guter Absicht, sondern eher an Kohärenz: Deutschland etwa verfügt seit 2023 über eine CVD-Leitlinie des BSI [3], jedoch fehlt weiterhin eine klare gesetzliche Grundlage für den Schutz von Sicherheitsforschern. Der Prozess zur Reform von § 202c StGB (bekannt als „Hackerparagraph“) verläuft schleppend, was die rechtskonforme Mitarbeit engagierter Sicherheitsforscher massiv und unnötig erschwert.

Drei Stufen zum Umgang mit Schwachstellen

Mit der Studie „Vulnerability Disclosure: Guiding Governments from Norm to Action“ [4] hat eine internationale Arbeitsgruppe aus Wissenschaftlern und Praktikern unter Leitung des Autors ein dreistufiges Modell für staatliche Umsetzungspfade entwickelt.

  1. Grundlegende Schritte umfassen unter anderem die Benennung eines zentralen Ansprechpartners (z.B. das Computer-Emergency-Response-Team, CERT), das Erarbeiten einer staatlichen Offenlegungspolitik, rechtliche Absicherung für „Good Faith Researchers“ sowie die Bereitstellung von Leitlinien, Services und Anlaufstellen.
  2. Erweiterte Maßnahmen tragen der politischen Komplexität Rechnung:
    Dazu gehören transparente Entscheidungsprozesse zur Schwachstellenzurückhaltung (Equities-Process), staatlich finanzierte Bug-Bounty-Programme, strukturelles Teilen von Schutzmechanismen sowie eine institutionelle Verankerung der Norm J in der Verwaltungskultur.
  3. Fortgeschrittene Aktivitäten zielen auf internationale Koordination:
    Dazu zählen der Aufbau gemeinsamer Informationsdatenbanken, spezialisierte Koordinationsstrukturen, internationale Kooperationsprojekte sowie politische Sanktionen („Naming and Shaming“) gegenüber Staaten, die systematisch gegen die Norm verstoßen.
Checkliste zur Implementierung einer Vulnerability- Disclosure-Norm in drei Stufen
Checkliste zur Implementierung einer Vulnerability- Disclosure-Norm in drei Stufen

Was zählt, ist das Handeln

Viele Staaten implementieren Norm J faktisch, ohne diesen Erfolg aber je explizit zu benennen. Die Umsetzung kann sich in Bug-Bounty-Programmen, staatlichen Disclosure-Richtlinien oder Beteiligungen an internationalen Initiativen zeigen. Solche impliziten Umsetzungen sind wichtig, denn sie machen greifbar, welche Verhaltensstandards Regierungen tatsächlich einhalten – aufbauend auf oder auch jenseits von auf UN-Ebene vereinbarten Leitlinien.

Doch so begrüßenswert die Umsetzung von Teilen der Norm J auch ist – die internationalen Berichts- und Evaluationsmechanismen müssten ebenfalls verbessert werden!
Nur so lässt sich überprüfen, welche Staaten Fortschritte machen, wer hinterherhinkt und wo internationale Unterstützung oder vielleicht sogar diplomatischer Druck notwendig sind.

Verantwortungsvolle Schwachstellenpolitik ist gute Cybersicherheitspolitik

Die UN-Norm J bietet eine klar umrissene Chance, staatliches Verhalten im Cyberraum kalkulierbarer und vertrauenswürdiger zu gestalten. Doch zwischen Bekenntnis und tatsächlicher Umsetzung klafft eine erhebliche Lücke:
Die interface-Studie „Vulnerability Disclosure: Guiding Governments from Norm to Action“ [4] macht einen detaillierten, umsetzungsorientierten Vorschlag, wie sich diese Lücke schließen ließe – mit Augenmaß, Sinn für Differenzierung und realpolitischem Bewusstsein.

Fazit

In der heutigen Zeit, in der digitale Souveränität, Cyberresilienz und internationale Sicherheitsarchitekturen zunehmend miteinander verknüpft sind, kann Schwachstellenpolitik zum „Lackmustest“ für glaubwürdige und verantwortungsvolle Cybersicherheitspolitik werden.
Dabei kann Norm J nur so gut wirken, wie Staaten sie umsetzen. Auch diese Norm ist kein Allheilmittel – aber sie ist ein belastbarer Ausgangspunkt, auf den sich Staaten schon vor langer Zeit einigen konnten und auf den sie sich in ihrem künftigen Handeln berufen können. ■

Dr. Sven Herpig ist Leiter für internationale Cybersicherheitspolitik und Resilienz beim Think Tank interface (ehemals: Stiftung Neue Verantwortung, SNV) und Mitglied in mehreren nationalen und internationalen Fachgremien, darunter dem Nationalen Cyber-Sicherheitsrat sowie der EU Cyber Diplomacy Initiative (https://eucyberdirect.eu). Zuvor war er unter anderem für das BSI und das Auswärtige Amt tätig.

Literatur

[1] United Nations (UN) Group of Governmental Experts (GGE), Report … on Developments in the Field of Information and Telecommunications in the Context of International Security, UN General Assembly Document A/70/174, Juli 2015, https://docs.un.org/en/A/70/174 (adoptiert durch UN General Assembly Resolution A/RES/70/237, https://docs.un.org/en/A/RES/70/237)

[2] United Nations Office for Disarmament Affairs (UNODA), Voluntary, Non-Binding Norms for Responsible State Behaviour in the Use of Information and Communications Technology – A Commentary, Dezember 2017, ISBN 978-92-1-142326-6, als PDF verfügbar unter:
https://front.un-arm.org/wp-content/uploads/2018/04/Civil-Society-2017.pdf

[3] Bundesamt für Sicherheit in der Informationstechnik (BSI), Coordinated-Vulnerability-Disclosure-(CVD)-Richtlinie des BSI, Dezember 2022,
www.bsi.bund.de/dok/schwachstellenmeldung

[4] Dr. Sven Herpig, Vulnerability Disclosure: Guiding Governments from Norm to Action. How to Implement Norm J of the United Nations Norms of Responsible State Behaviour in Cyberspace, interface – Tech analysis and policy ideas for Europe, Dezember 2024,
www.interface-eu.org/publications/vulnerability-disclosure

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.