GI: Software-Sicherheitslücken veröffentlichen

Anlässlich vermutlich chinesischer Angriffe auf Computer der Bundesregierung fordert die Gesellschaft für Informatik die Veröffentlichung aller erkannten Sicherheitslücken in Software.

Die äußerst aufwendigen Angriffe auf Regierungscomputer konnten selbst von einschlägigen Bundesbehörden erst nach Monaten abgewehrt werden, so die GI. Dies deute darauf hin, dass Viren, Würmer oder Trojanische Pferde nicht benutzt wurden. Vielmehr hätten die Hacker individuelle und spezifische Angriffsverfahren eingesetzt, die nur ihnen bekannte Sicherheitslücken ausnutzen. Solche Angriffe – auch aus anderen Ländern – dürften auch zur Wirtschaftsspionage eingesetzt werden.

Die GI warnt daher Unternehmen, Behörden und Private vor unveröffentlichten Sicherheitslücken (Less-Than-Zero-Day) in aller Art von Software: Kommunikationssoftware, Betriebssysteme, Anwendungs- und Sicherheitssoftware wie Virenscanner, Firewalls, Intrusion-Detection- und Intrusion-Protection-Systeme. Less-Than-Zero-Day-Exploits sind Angriffsprogramme, die bisher unveröffentlichte Sicherheitslücken ausnutzen. Signaturen für derartige Angriffe liegen noch nicht vor.

Gegen diese zum Teil seit Jahren von Kriminellen genutzten Lücken gebe es keinen Schutz, sofern die Lücken nicht veröffentlicht werden, heißt es weiter. Im Gegenteil würden einige dieser Lücken von Behörden zur so genannten heimlichen Online-Durchsuchung eingesetzt. Das beeinträchtige stark die Glaubwürdigkeit behördlicher Ratschläge zur IT-Sicherheit.

Die GI fordert die einschlägigen Behörden daher dringend auf,

  • alle ihnen bekannten unveröffentlichten Sicherheitslücken in Software unverzüglich zu veröffentlichen, damit sich Unternehmen und Private rechtzeitig dagegen wehren können

  • die wichtigste Software auf bisher nicht veröffentlichte Sicherheitslücken zu untersuchen und diese ebenfalls zu veröffentlichen

  • Bürger und Unternehmen deutlich vor den Risiken solcher Sicherheitslücken zu warnen und klarzustellen, dass diese Sicherheitslücken bisher überhaupt nicht veröffentlicht wurden.

Ferner fordert die GI den Gesetzgeber auf, u. a. Behörden zur Veröffentlichung aller ihnen bekannten Sicherheitslücken zu verpflichten und die Verheimlichung von Sicherheitslücken zu sanktionieren. (dsc)