Schwachstellen für Deutschland : Die Aufrüstung im Cyberraum wird „waffenfähige Vulnerabilities“ benötigen – wie kann ein Staat mit Zero-Day-Schwachstellen umgehen?
Bei der immer offensiveren Strategie, die Deutschland im Cyberraum verfolgt, müssen offizielle Stellen früher oder später zwangsläufig auf besonders gefährliche, unbekannte Schwachstellen (Zero-Days) zurückgreifen. Um dies zu ermöglichen und gleichzeitig Regierungsnetze, Wirtschaft und Gesellschaft so wenig wie möglich zu gefährden, braucht Deutschland einen rechtlich verankerten Prozess zum Umgang mit Zero-Day-Schwachstellen, mahnt unser Autor.
Neben dem traditionellen Umgang mit Gefährdungen im Cyberraum, der aus dem Dreiklang aus Prävention, Detektion und Reaktion besteht, setzt Deutschland zunehmend auch auf Repression als zusätzliches Element seiner Cybersicherheits-Strategie – das betrifft den militärischen wie auch den zivilen Bereich. Dass repressive Maßnahmen zukünftig eine immer wichtigere Rolle spielen könnten, wird in der Debatte um „aktive Cyber-Abwehr“ (auch „Hack Back“ genannt) derzeit wieder einmal deutlich – viele Fragen sind dabei noch ungeklärt und nicht selten behandeln Diskussionen hierzu nur „schwarz oder weiß“, statt differenzierter zwischen verschiedenen Eskalationsstufen zu unterscheiden (vgl. [1]).
Um solche Cyber-Operationen, vor allem gegen „Hochwertziele“ wie Nachrichtendienste oder Militärs, erfolgreich durchführen zu können, müssen die zuständigen Behörden auch über besonders potente und gefährliche Zero-Day-Schwachstellen verfügen. Es handelt sich hierbei um Schwachstellen in Hardware, Software oder bei Onlinedienstleistungen, die dem Hersteller oder Maintainer (z. B. im Open-Source-Bereich) nicht bekannt sind – und für die es deshalb noch keine Patches gibt. Regierungen, aber auch andere Akteure, die Kenntnis von solchen Schwachstellen haben, können sie daher als Einfallstor für ihre Cyber-Operationen nutzen.
Das Bundesministerium des Innern, für Bau und Heimat (BMI), das nach eigener Aussage (Stand: Juni 2018) über keinerlei Zero-Day-Schwachstellen verfügt, erarbeitet derzeit einen Prozess, wie in Deutschland mit solchen Schwachstellen umgegangen werden soll – mehrere andere Staaten haben bereits einen solchen Prozess etabliert. Die USA haben sogar Ende 2017 weite Teile ihres Prozesses zum Umgang mit Schwachstellen veröffentlicht [2].
Während das BMI noch an seinem Vorschlag arbeitet, hat eine Gruppe deutscher und US-amerikanischer Vertreter aus Zivilgesellschaft, Wissenschaft und Wirtschaft bereits ein entsprechendes Modell entworfen und vor Kurzem vorgestellt [3].
Prinzip Verantwortung
Der detaillierten Ausarbeitung des Vorschlags werden dabei Prinzipien vorangestellt, die allgemeingültig für jeden Staat gelten sollten, der Zero-Day-Schwachstellen zurückhalten möchte. Dafür wiederum muss ein Verfahren implementiert und rechtlich geregelt sein – genauso wie eine mögliche Evaluierung der Effektivität eines solchen Prozesses.
Außerdem ist ein Schwachstellen-Management für Zero-Days nur dann sinnvoll, wenn es auch die Schwachstellen mit einbezieht, die Behörden über Hacking-Werkzeuge oder -Dienstleistungen erwerben. Ansonsten könnten jegliche Restriktionen beim Management und Einsatz von Schwachstellen einfach umgangen werden, indem man diese über Dritte mittelbar einsetzt.
Zudem gilt es, Zero-Day-Schwachstellen lediglich temporär zurückzuhalten: Grundprämisse ist, dass eine Offenlegung von Schwachstellen im Interesse der Grundrechte, der Wirtschaft, der öffentlichen Sicherheit und der IT-Sicherheit liegt. Will man Schwachstellen zurückhalten, muss eine Notwendigkeit nachgewiesen werden, die den durch eine unmittelbare Offenlegung zu erwartenden Sicherheitsgewinn aufwiegt.
Da der Diskurs um staatliches Schwachstellen-Management relativ neu ist, sollte darüber hinaus Forschung zum besseren technischen und politischen Verständnis dieser Thematik gefördert und international diskutiert werden.
Umgang mit Zero-Days
Konkret sieht der Vorschlag „Schwachstellen-Management für mehr Sicherheit“ [3] vor, dass die beteiligten Akteure monatlich zusammenkommen, um über den Umgang mit Zero-Day-Vulnerabilities zu entscheiden. Thema sind dabei neben allen neu bekannt gewordenen auch gerade eingesetzten oder schon länger zurückgehaltenen Schwachstellen. Vulnerabilities, die dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zur direkten Weiterleitung an den Hersteller im Rahmen des Coordinated-Vulnerability-Disclosure-Prozesses gemeldet werden, sind davon jedoch ausgenommen.
Akteure mit Stimmrecht sind Vertreter aller Behörden, die von einer Offenlegung oder dem Zurückhalten der jeweiligen Schwachstelle betroffen sind. Das umfasst neben Bundeswehr und Sicherheitsbehörden auch BSI, Auswärtiges Amt, Bundeswirtschaftsministerium und andere. In speziellen Fällen können weitere betroffene Behörden wie zum Beispiel das Bundesinstitut für Arzneimittel und Medizinprodukte sowie je nach Bedarf unabhängige (technische) Experten ohne Stimmrecht hinzugezogen werden.
Die Vertreter der genannten Behörden diskutieren und fällen dem Vorschlag zufolge ihre Entscheidung anhand verschiedener festgelegter Indikatoren:
- Verbreitungsgrad des betroffenen Produkts
- Wahrscheinlichkeit der Zurverfügungstellung von Patch
- Wahrscheinlichkeit des Ausrollens von Patches
- Existenz von Mitigationsmaßnahmen
- technologische Souveränität
- Einsatzgebiet der betroffenen Produkte
- Schweregrad der Schwachstelle
- Kollisionsraten (Wahrscheinlichkeit, dass mehrere Akteure unabhängig voneinander Kenntnis derselben Zero-Day-Schwachstelle erlangen)
- operativer Nutzen für die Sicherheitsbehörden
Bereits dann, wenn eine robuste Minderheit der Akteure (ca. 15 %) dafür ist, wird eine Schwachstelle unmittelbar gemeldet beziehungsweise offengelegt (vgl. Abb. 1). Sollten sich weniger dafür aussprechen, wird sie entweder nur zurückgehalten oder sie wird zurückgehalten und zusätzlich werden schadensmindernde (mitigierende) Maßnahmen für spezielle Institutionen ergriffen (z. B. für Regierungsnetze, kritische Infrastrukturen oder Institutionen im besonderen staatlichen Interesse, sog. INSIs).
Wichtig ist, dass Schwachstellen nur für eine begrenzte Zeit zurückgehalten werden dürfen – und nur, wenn nach ausführlicher Beurteilung die Vorteile dafür ganz klar überwiegen.
Kontrolle und Transparenz
Die Beurteilung und das Zurückhalten von Zero-Day-Schwachstellen ist ein Prozess, der für die nationale Sicherheit eine hohe Bedeutung hat. Da er aber auch direkte Auswirkungen auf Wirtschaft und Gesellschaft haben kann und verschiedene politische Teilbereiche wie Innenpolitik, Digitalisierung und Außenpolitik betrifft, muss ein entsprechendes Entscheidungsgremium an der höchsten ressortübergreifenden Stelle in Deutschland aufgehängt werden, also dem Bundeskanzleramt.
Hinzu kommt bei einem so sensiblen Verfahren, dass es eine robuste parlamentarische Kontrolle sowie Transparenzberichte zur unabhängigen Beurteilung der Effektivität seiner Prozesse geben muss. Darüber hinaus ist es zwingend erforderlich, dass zurückgehaltene Schwachstellen über den Stand der Technik hinaus vor dem Zugriff Dritter geschützt werden (vgl. Abb. 2).
In dem entsprechenden Transparenzbericht sollten folgende Indikatoren veröffentlicht werden:
- Zahl der Schwachstellen, die beschafft und direkt offengelegt wurden
- Zahl der Schwachstellen, die beschafft, mitigiert und aufbewahrt wurden
- Zahl der Schwachstellen, die beschafft und aufbewahrt wurden
- Zahl der Schwachstellen, die aufbewahrt und eingesetzt wurden
- Zahl der Schwachstellen, die aufbewahrt wurden und während der Zurückhaltung von Dritten erfolgreich ausgenutzt wurden
- durchschnittliche Aufbewahrungszeit
Sichere Verwahrung
Fehler bei der sicheren Verwahrung von Zero-Day-Schwachstellen können katastrophale Konsequenzen haben, wie das Beispiel von „EternalBlue“ illustriert hat: Diese Windows-Server-Schwachstelle wurde der US-amerikanischen National Security Agency (NSA) entwendet und dann für die WannaCry- und NotPetya-Malware ausgenutzt (vgl. [4]).
Aktuelle Ansätze zum Schutz der verwahrten Schwachstellen vor unbefugtem Zugriff Dritter greifen hier scheinbar noch zu kurz. Ein Aspekt, der für sich genommen noch zu keinem ausreichenden Schutz verwahrter Schwachstellen geführt hat, ist die Einstufung solcher Informationen (in Deutschland zum Beispiel gemäß Verschlusssachenanweisung – VSA) und die damit verbundene Anwendung entsprechend vorgeschriebener Sicherheitsmechanismen. Wenn selbst mächtige Geheimdienstorganisationen wie die NSA Schwierigkeiten haben, zurückgehaltene Informationen angemessen gegen einen Zugriff durch Dritte zu schützen, müssen andere Regierungen offenbar gänzlich neue Konzepte dafür entwickeln.
Wie hoch der Prozentsatz der von staatlichen Stellen zurückgehaltenen Schwachstellen ist, lässt sich auf der Basis heute veröffentlichter Informationen unmöglich feststellen. Die Schwierigkeit, solche Informationen zu jeder Zeit lückenlos gegen unbefugten Zugriff abzusichern, unterstreicht jedoch die Gefahren eines massenhaften Zurückhaltens von Zero-Day-Schwachstellen.
Fazit
Wie viele andere Staaten baut auch Deutschland seine offensiven Fähigkeiten im Cyberraum aus. Ob strafrechtliche Ermittlungen, klassische Spionagetätigkeiten oder neue Konzepte der Kriegsführung im digitalen Raum – allen gemein ist ein Bedarf an Schwachstellen. Gerade bei besser gesicherten Zielen reichen bekannte Schwachstellen gegebenenfalls nicht aus und Sicherheitsbehörden müssen auf Zero-Days zurückgreifen. Um dazu in der Lage zu sein, muss der Staat solche Schwachstellen beurteilen und managen können.
Hierzu braucht es ein klares und transparentes Konzept, das darauf ausgelegt ist, mehr öffentliche Sicherheit zu schaffen als Grundrechten, IT-Sicherheit, Wirtschaft und anderen Faktoren zu schaden. Dazu gehören zusätzlich zu einer entsprechenden rechtlichen Verankerung natürlich auch starke Sicherungs- und Kontrollmechanismen. Da über ähnliche Mechanismen in anderen Ländern bisher wenig bekannt ist, hat der Autor zusammen mit einer Gruppe von Experten den Entwurf „SchwachstellenManagement für mehr Sicherheit“ [3] erarbeitet, der vor allem auch als Grundlage für den Vorschlag dienen soll, der bald aus dem BMI zu erwarten ist.
Dr. Sven Herpig ist Projektleiter „Internationale Cyber-Sicherheitspolitik“ bei der Stiftung Neue Verantwortung (www.stiftung-nv.de/de/person/dr-sven-herpig).
Literatur
[1] Sven Herpig, Hackback ist nicht gleich Hackback, Juli 2018, www.stiftung-nv.de/de/publikation/hackback-ist-nicht-gleich-hackback
[2] US White House, Vulnerabilities Equities Policy and Process for the United States Government, November 2017, www.whitehouse.gov/sites/whitehouse.gov/files/images/External%20-%20Unclassified%20VEP%20Charter%20FINAL.PDF
[3] Sven Herpig, Schwachstellen-Management für mehr Sicherheit, Wie der Staat den Umgang mit Zero-Day-Schwachstellen regeln sollte, August 2018, www.stiftungnv.de/sites/default/files/vorschlag.schwachstellenmanagement.pdf
[4] Lily Hay Newman, Why governments Won’t Let go Of Secret Software Bugs, WIRED, Mai 2017, www.wired.com/2017/05/governments-wont-let-go-secret-softwarebugs