BSI-Chef Geheimhalten von Software-Schwachstellen ein Risiko
„Ich halte es für sehr schwierig, wenn Lücken bewusst offen gehalten werden.“
Berlin – Der Präsident des Bundesamtes für die Sicherheit in der Informationstechnik, Arne Schönbohm, wertet das Geheimhalten von Schwachstellen in Computer-Software als Risiko für die IT-Sicherheit und die Grundversorgung in Deutschland.
„Ich halte es für sehr schwierig, wenn Lücken bewusst offen gehalten werden“, sagte der BSI-Präsident mit Blick auf die bekannt gewordene Praxis von Geheimdiensten in der Sendung „hr-Info Das Interview“. Wenn Dienste solche Sicherheitslücken für sich behalten und nicht an die Softwarehersteller melden würden, sehe er das mit „Bauchschmerzen“, so Schönbohm.
Er betonte, dass er zwar auch das „berechtigte Interesse“ von Polizei und Geheimdiensten an guten technischen Überwachungsmöglichkeiten sehe. Dennoch sei es Aufgabe des BSI, solche „Zero Day Exploits“ immer so schnell wie möglich an die Hersteller weiterzugeben.
Dem BSI würden jedes Jahr Hunderte kritische Schwachstellen in weit verbreiteter Software bekannt. „Von daher habe ich ein sehr, sehr großes Interesse, so schnell wie möglich diese mangelhafte Qualität, die da ausgeliefert worden ist, zu beheben.“ „Wir schützen ja auch die kritischen Infrastrukturen“, so Schönbohm weiter.
„Ein hypothetisches Beispiel: ein Kernkraftwerk. Wenn dort ein Windows XP-System im Einsatz ist, das vielleicht am Netz hängt, dann möchte ich, wenn da irgendeine Lücke drin ist, dass die sofort geschlossen wird.“
Auf die Frage, für wie riskant er das Horten von Schwachstellen durch Geheimdienste auf einer Skala von 0 bis 10 halte, antwortet der BSI-Präsident: „So lange nichts passiert, ist es null. Da aber Lücken dann irgendwann vielleicht auch von Kriminellen ausgenutzt werden können, würde ich das als eine 7 oder 8 bezeichnen.“
Im Mai hatte der Verschlüsselungstrojaner „WannaCry“ eine Schwachstelle im Betriebssystem Windows ausgenutzt und weltweit Hunderttausende Computersysteme befallen. Dem US-Geheimdienst NSA war diese Schwachstelle bekannt. Er hatte sie aber nicht an den Windows-Hersteller Microsoft gemeldet.
16.06.2017 - dts Nachrichtenagentur / newsburger.de