Symbolbild Hacker © colourbox.de
BeitragBeitrag
Sicherheitslücke zu verkaufen.
Bekannte Schwachstelle
Sicherheitslücken in Computersystemen
"Der Bundestag hat per Gesetz festgelegt, dass Sicherheitslücken, die den Behörden bekannt sind, nicht veröffentlich werden müssen", sagt der Informatiker Prof. Hartmut Pohl.
Cyber-Attacke auf Bundestag © dpa Cyber-Attacke auf Bundestag
Cyberwaffe Stuxnet Cyberwaffe Stuxnet

"Es gibt in der Informationstechnik keine hundertprozentige Sicherheit." Software, oft Tausende von Programmzeilen lang, könne nie fehlerfrei geschrieben werden, selbst wenn es hervorragende Programmierrichtlinien gebe, erläutert er. Programmierer sind Menschen - und Menschen machen Fehler.

Daher hat Software oft Sicherheitslücken, von denen der Hersteller nicht weiß und die er deswegen auch nicht mit einem Update stopfen kann. Kennen Angreifer diese Schwachstellen, haben sie leichtes Spiel. Solches Wissen bekommt man auf dem Schwarzmarkt. Die Sicherheitsbehörden vieler Staaten gehörten zu den Käufern, so Pohl.

In der Branche ist es üblich, dass der Entdecker einer Schwachstelle dem Softwarehersteller Zeit gibt, diese zu schließen.

  • Der Betriebssystemhersteller Microsoft verfährt nach dem "Coordinated Vulnerability Disclosure": Sicherheitslücken werden erst veröffentlicht, wenn sie geschlossen sind. Dabei ist es aber schon vorgekommen, dass Hersteller trotz Warnung nicht reagiert haben und durch die Veröffentlichung - erfolgreich - unter Druck gesetzt wurden, zu reagieren.
  • Nach der Responsible-Disclosure-Richtlinie muss eine Sicherheitslücke nur 90 Tage geheim gehalten werden, ob der Hersteller reagiert oder nicht. Google verfährt so. Die von Google angesetzte Frist von 90 Tagen wird, wenn sie auf ein Wochenende oder US-Feiertag fällt, auf den nächsten Wochentag verschoben. Zudem gewährt Google Unternehmen in bestimmten Fällen eine Schonzeit von weiteren 14 Tagen, wenn ein Patch bereits in Arbeit ist und kurz vor der Veröffentlichung steht.

Seit Juli 2014 arbeiten Google-Mitarbeiter unter dem Namen "Project Zero" daran, Sicherheitslücken im Netz und in breit genutzter Software gezielt aufzuspüren. Kritiker werfen Google eine heuchlerische Haltung vor, weil Fehler anderer bloß gestellt werden, im eigenen System Android (Version 4.3 und älter) aber große Sicherheitslücken klafften, die von Google nicht mehr geschlossen würden.

Verfassungsgericht urteilt
"Stark nachbessern"
Die weitreichenden Befugnisse des deutschen Bundeskriminalamts zur Terrorabwehr sind zum Teil verfassungswidrig: Das BKA-Gesetz muss stark nachgebessert werden.
Glossar
Viren, Würmer, Trojaner
Das Internet ist voller Gefahren durch Schadsoftware. Inzwischen hat sich daraus eine weltweite kriminelle Industrie entwickelt.
Grundkurs Cyberkriminalität
Hacker mit Lizenz
Die Mitarbeiter von Bundes- und Landeskriminalämtern sowie Steuerfahnder lernen in Workshops mit Praxisübungen, wie Cyberkriminelle vorgehen.
Anonym durchs Netz
Sicher surfen
Wer beim Surfen im Internet nicht aufpasst, der gibt schnell mehr Informationen über sich selbst preis, als er will. Oft reichen schon einfache Maßnahmen, um sich zu schützen.
"Cryptopartys" beliebt
Rebellion der Hacker
Auf "Cryptopartys" bringen Hacker anderen sicheres Surfen bei. Die Teilnehmer wollen nicht, dass man mitverfolgen kann, wohin sie surfen und was sie in E-Mails schreiben.