Streit in Bundesregierung über Nutzung von "Zero-Day-Exploits"

In der Bundesregierung ist offenbar ein Streit über die Nutzung von sogenannten Zero-Day-Exploits entbrannt. Das berichtet "Zeit-Online". Demnach wollen der Bundesnachrichtendienst und die Bundeswehr "Zero-Day-Exploits" nutzen, um in andere Computersysteme einzudringen.

Bei "Zero-Day-Exploits" handelt es sich um Schadsoftware, die bislang unbekannte Sicherheitslücken ausnutzt. Das Auswärtige Amt arbeitet im Rahmen einer Expertengruppe der Vereinten Nationen daran, "Zero-Day-Exploits" international zu ächten. IT-Sicherheitsexperten halten diesen Plan für notwendig und wichtig. "Der (...) Kauf, die Entwicklung und die Nutzung von Schwachstellen und Exploits durch Strafverfolgungsbehörden ist ein für die Bundesregierung relevantes Thema", heißt es in der Antwort des Innenministeriums auf eine schriftliche Frage der SPD-Bundestagsabgeordneten Saskia Esken, berichtet "Zeit-Online". Man setze sich derzeit "inhaltlich intensiv mit dieser Problematik auseinander". Und weiter: "Die Überlegungen sollen in einen Prozess münden, sind allerdings nicht abgeschlossen und bedürfen noch einer Konkretisierung." Die Expertengruppe der Vereinten Nationen hatte 2015 unter Beteiligung des Auswärtigen Amtes dringend empfohlen, dass alle Staaten, die IT-Sicherheitsprobleme entdecken, verantwortlich mit ihnen umgehen und alle Betroffenen darüber informieren. Die UN-Generalversammlung hat diese Empfehlung anschließend einstimmig verabschiedet. Das sei zwar keine völkerrechtlich bindende Vereinbarung, wohl aber eine sehr starke politische Verpflichtung, heißt es nach Informationen von "Zeit-Online" im Außenministerium. BND-Präsident Bruno Karl sagte dagegen in einer öffentlichen Bundestagsanhörung, man habe keinen Grund, "solche Aufklärungsmöglichkeiten auszuschlagen". Laut Bericht soll daher die neu gegründete Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) künftig darüber entscheiden, ob eine Sicherheitslücke von Geheimdiensten genutzt werden darf, oder ob Hersteller und Betreiber der Systeme gewarnt werden. An diesem Bewertungsprozess sollen demnach auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundeswehr beteiligt werden. Vorbild sind die USA, die einen solchen Bewertungsprozess für die Arbeit des Geheimdienstes NSA vorschreiben. Doch wird dieser "Vulnerabilities Equities Process" von Sicherheitsexperten kritisiert. Allein schon die durch die Bewertung verursachte Verzögerung stelle eine Gefahr dar, argumentieren sie. Daher fordert beispielsweise der Chaos Computer Club, Zero-Day-Lücken konsequent zu schließen, statt sie im Geheimen auszunutzen.