Der Zustand der IT-Sicherheit in der EU ist wahrscheinlich kein Glanzfall, die Erkenntnis dürfte nicht überraschen. Nun hat die Agentur der Europäischen Union für Cybersicherheit (ENISA) eine Übersicht über die nationalen Maßnahmen zur koordinierten Offenlegung von Schwachstellen („Coordinated Vulnerability Disclosure“ – CVD) in den EU-Mitgliedstaaten veröffentlicht und zeigt auf, dass noch sehr viel Arbeit vor der EU liegt.
Offenlegung von Sicherheitslücken
Die Offenlegung von Cyber-Schwachstellen ist in den Mittelpunkt der Aufmerksamkeit von Cybersicherheitsexperten gerückt, die sich für die Stärkung der Cybersicherheitsresistenz der Europäischen Union einsetzen. Der Grund für die Besorgnis liegt in den Bedrohungen der Cybersicherheit, die sich hinter den Schwachstellen verbergen, wie die Auswirkungen der Log4Shell-Schwachstelle zeigen.
Die ENISA fasst es so zusammen: Sicherheitsforscher und ethische Hacker nehmen IKT-Systeme – sowohl Open-Source- als auch kommerzielle Closed-Source-Software – ständig unter die Lupe, um Schwachstellen, Fehlkonfigurationen, Software-Schwachstellen usw. zu finden. Auf diese Weise wird eine breite Palette von Problemen aufgedeckt: schwache Passwörter, grundlegende kryptografische Fehler oder tief verschachtelte Softwarefehler.
Die Identifizierung von Schwachstellen ist aus Sicht der IT-Sicherheit absolut unerlässlich, wenn verhindert werden soll, dass Angreifer diese Lücken ausnutzen. Es ist wichtig zu bedenken, dass Angreifer immer Malware entwickeln können, die speziell auf die Ausnutzung von Schwachstellen ausgelegt ist, die der Öffentlichkeit bekannt sind. Abgesehen von der Identifizierung selbst können Anbieter auch zögern, Schwachstellen zuzugeben, da ihr Ruf dadurch geschädigt werden könnte.
Verbindliche Regeln
Die koordinierte Offenlegung von Schwachstellen (CVD) ist ein Prozess, bei dem die Finder von Schwachstellen zusammenarbeiten und Informationen mit den relevanten Interessengruppen wie Anbietern und IKT-Infrastrukturbesitzern austauschen. Eine regulierte, koordinierte Offenlegung von Sicherheitslücken stellt dann sicher, dass Software-Schwachstellen der Öffentlichkeit bekannt gemacht werden, sobald der Hersteller eine Lösung oder einen Patch entwickelt oder eine andere Lösung gefunden hat, dabei sollen die Interessen aller Beteiligten gewahrt werden, insbesondere soll sichergestellt sein, dass
- Forscher die richtigen Stellen kontaktieren, um die Schwachstelle bekannt zu machen;
- die Hersteller rechtzeitig eine Lösung oder einen Patch entwickeln können;
- Entdecker für ihre Arbeit Anerkennung erhalten und vor strafrechtlicher Verfolgung geschützt sind.
Gerade letzteres ist ein erhebliches Problem, da die Suche nach Sicherheitslücken ohne Beauftragung in Deutschland derzeit regelmäßig in die Strafbarkeit führt, wie ich bereits dargestellt habe.
Wie ist die Lage in der EU?
Der ENISA-Bericht gibt einen Überblick über die nationalen CVD-Maßnahmen in der EU, vergleicht die verschiedenen Ansätze und hebt bewährte Verfahren hervor.
Die Analyse zeigt, dass es zwischen den Mitgliedstaaten große Unterschiede in Bezug auf den Stand der Umsetzung der CVD-Politik gibt. So hatten nur vier Mitgliedstaaten bereits eine solche CVD-Politik eingeführt, während weitere vier Mitgliedstaaten kurz davor standen. Die verbleibenden Mitgliedstaaten werden in zwei Gruppen unterteilt: diejenigen, die derzeit darüber diskutieren, wie sie vorankommen wollen, und diejenigen, die dieses Stadium noch nicht erreicht haben.
CVD: Stand in Deutschland
Man darf durchaus überrascht sein, dass Deutschland grün markiert ist. Dabei betont die Analyse selbst (Seite 17), dass es in Deutschland keine formale nationale Regelung für CVD gibt.
Aber, das rettet den Status: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Richtlinie erarbeitet, die nach Zustimmung der BSI-Leitung und der zuständigen Ministerien veröffentlicht wird. Für den Umgang mit Schwachstellen sind Meldeverfahren innerhalb der Bundesverwaltung an das BSI und durch das BSI etabliert worden (vgl. § 4 Abs. 2-4 BSIG und die BSI-Webseite zum Thema).
Entsprechend der BSI-Richtlinie müssen alle Bundesbehörden dem BSI Informationen im Zusammenhang mit neu erkannten Schwachstellen melden, die für die Aufgabenerfüllung oder die Sicherheit der Informationstechnik anderer Behörden von Bedeutung sind. Alle gefundenen Schwachstellen werden über das BSI an die betroffenen Hersteller gemeldet, damit diese entsprechend handeln können. Ziel des Verfahrens ist es, Schäden, die aus der möglichen Ausnutzung von Schwachstellen resultieren, zu minimieren. Durch die koordinierte Beteiligung der betroffenen Hersteller können zum einen funktionierende Sicherheitsupdates bereitgestellt werden. Zum anderen wird durch die zeitlich begrenzte Aufbewahrung von Schwachstellen- und Angriffsdetails der mögliche Schaden reduziert. Derzeit ist die BSI-Politik aus Sicht der ENISA als die deutsche nationale Politik zu betrachten, da diese Behörde die zentrale Anlaufstelle für CVD ist. In diesem Zusammenhang ist nicht zu erwarten, dass andere öffentliche Einrichtungen in Deutschland eine weitere formelle CVD-Richtlinie veröffentlichen. Als Beispiel führt man dann konkret den Umgang der Bundeswehr mit Sicherheitslücken an.
Das Problem ist, dass dies nur Behörden betrifft und insbesondere die massiven Probleme im privaten Sektor damit ausgeblendet werden. Die potenzielle Strafbarkeit für Hacker und Sicherheitsforscher ist ein massives Problem und schwächt die IT-Infrastruktur. Die ENISA-Analyse stellt die Situation in DE mit der grünen Einfärbung zu positiv dar!
Empfehlungen der ENISA
Die wichtigsten Empfehlungen der ENISA aus der Analyse sind:
- Änderungen der Strafgesetze und der Richtlinie über Cyberkriminalität, um Sicherheitsforschern, die an der Aufdeckung von Sicherheitslücken beteiligt sind, rechtlichen Schutz zu bieten;
- die Festlegung spezifischer Kriterien für eine klare Unterscheidung zwischen „ethischem Hacking“ und „Black Hat“-Aktivitäten vor der Einführung eines rechtlichen Schutzes für Sicherheitsforscher;
- Schaffung von Anreizen für Sicherheitsforscher, sich aktiv an der CVD-Forschung zu beteiligen, entweder durch nationale oder europäische Bug-Bounty-Programme oder durch die Förderung und Durchführung von Schulungen zur Cybersicherheit.
- Darüber hinaus gibt es weitere Empfehlungen zu den wirtschaftlichen und politischen Herausforderungen sowie zu operativen und Krisenmanagement-Aktivitäten.
Weitere Beiträge zum Thema IT-Sicherheit im Unternehmen:
- Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke
- Haftung der Geschäftsführung für IT-Sicherheitslücken
- NIS2-Richtlinie und NIS2-Umsetzungsgesetz
- DORA
- Bug-Bounty-Programme – Strafbarkeit des Suchens nach Sicherheitslücken
- Aktualisierungspflicht für Software
- Neues Kaufrecht: Sicherheit als Mangel
- Pentesting: Vertrag über Penetrationstest
- Wie Unternehmen mit Ransomware erpresst werden
- Ransomware: Soll man das Lösegeld zahlen?
- Haftung des Arbeitnehmers bei Installation von Malware
- Fahrlässige Tötung und Schadsoftware im Krankenhaus
- Was tun nach einem Hackerangriff?
- Wie schützt man sich vor einem Hackerangriff?
- Einhaltung interner Sicherheits-/Compliance Vorgaben für Arbeitnehmer verpflichtend
- Captagon im deutschen Strafrecht: Ein Überblick - 8. Oktober 2024
- Perfctl: Neue, heimtückische Malware, die Millionen von Linux-Servern bedroht - 7. Oktober 2024
- Datenschutzverstöße durch E-Mail-Weiterleitung: Haftungsrisiken für Geschäftsführer - 6. Oktober 2024