Sicherheitslücken in Hard- und Software sind ein globales, kollektives Problem der Cyber-Sicherheit. Durch die fortschreitende Digitalisierung der Lebenswelt und digitale Rüstungswettläufe steigt die Verwundbarkeit, vor allem der Industriestaaten. Gleichzeitig beharren offensive Cyber-Akteure darauf, dass die Ausnutzung unbekannter sogenannter 0-Day-Sicherheitslücken für militärische Cyber-Operationen, aber auch zum Zweck der Spionage und der Strafverfolgung essentiell sei.
Ein konstruktiver Umgang mit diesem Offensiv-defensiv-Dilemma, das sich für die Staaten beim Handling von 0-Day-Sicherheitslücken auftut, findet bisher in der deutschen Cyber-Sicherheitspolitik nicht statt. Die Bundesregierung sollte eine proaktivere Schwachstellen-Governance entwickeln. Sie sollte die Praxis der staatlichen Akquise und Verwendung von Sicherheitslücken überdenken, auf die Verkürzung der Lebenszeit von Schwachstellen hinarbeiten und die negativen Externalitäten einer offensiven Cyber-Sicherheitspolitik reflektieren. Deutschland und die EU sollten statt Geheimhaltung einen offeneren Umgang mit Schwachstellen kultivieren. Dazu gehört die Einführung verpflichtender Meldeprogramme für private und öffentliche Organisationen, die Bereitstellung von Bug-Bounty-Plattformen und die Regulierung schwarzer Schwachstellenmärkte.
Author(s): Matthias Schulze
Series: SWP Studie; 2019/10
Publisher: Stiftung Wissenschaft und Politik
Year: 2019
Language: German
Pages: 42
City: Berlin
Tags: Cyber-Sicherheit
5 Problemstellung und Empfehlungen
7 Das Sicherheitslückendilemma
10 Der Schwachstellen-Lebenszyklus
12 Das Schwachstellen-Ökosystem: Wer sucht und findet Schwachstellen?
14 Schwachstellenmärkte: Wer kauft und verkauft Schwachstellen?
17 Wie funktioniert die Schwachstellenökonomie?
18 Die Nutzung von 0-Days in staatlichen Cyber-Operationen
22 Wie sollten Staaten mit Sicherheitslücken umgehen?
22 Geheimhaltung und vollständiges Zurückhalten (stockpiling)
24 Vollständige, verantwortungsvolle Veröffentlichung
26 Schwachstellenmanagementprozesse (VEP)
29 Analyse und Zusammenfassung
31 Handlungsoptionen
32 Verpflichtende Coordinated-Vulnerability-Disclosure-Programme
33 Entkriminalisierung ethischen Hackings
35 Anreizstrukturen für ethische Hacker: Bug-Bounties und Hackerwettbewerbe
36 Kompetitive Bug-Bounty-Preise
37 Austrocknen des grauen und schwarzen Marktes
38 Fazit
39 Abkürzungen