Recommendations for the Development of Vulnerability Equities Processes
←
→
Page content transcription
If your browser does not render page correctly, please read the page content below
DSI Industrial & Policy Recommendations (IPR) Series Recommendations for the Development of Vulnerability Equities Processes Sandro Gaycken (Digital Society Institute, ESMT Berlin) Issue 7, 2017 How can the problem be modeled? can create a sufficient capacity, which is then more in Vulnerabilities, also known as "Bugs" or "Vulns", are line with German strategic and political interests. structural flaws or programming errors that can be ex- However, another possible conflict with this ap- ploited by hackers to gain direct access to the systems proach can be discussed. Normally, whenever vulnera- or to build attacks, so called “Exploits”. bilities are discovered, they are reported to the soft- Weaknesses and exploits have been critically rele- ware manufacturers so that they can fix them vant to government agencies in the security sector in (“patching”). This prevents later or further exploita- recent years. In the context of reconnaissance, foren- tion of the vulnerabilities by criminals or other mali- sics and surveillance, these agencies must be able to cious attackers. But the vulnerabilities used for state access foreign smartphones and computers. Two vari- access cannot be reported. They must remain in the ants of this access are strategically and politically un- products, so they can be used for surveillance, foren- desirable in Germany and are largely technically or le- sics and intelligence purposes. Accordingly, some argue gally excluded: the targeted installation of that the use of vulnerabilities by state authorities hurts vulnerabilities as "backdoors" in technology products, the larger IT-ecosystem, because those vulnerabilities legally enforced at the manufacturers, and mass sur- are not removed and open to all: legitimate state au- veillance. The installation of backdoors is mainly stra- thorities and illegitimate, malicious actors. Accord- tegically unwise, as this would severely impair confi- ingly, first ideas and procedures to assess possible con- dence in German technology products on the global sequences of the use of vulnerabilities by the security market and could lead to a decline in exports. Mass sur- authorities are emerging. In these processes, known for veillance, on the other hand, is considered in Germany instance in the USA as the “Vulnerability Equities Pro- as a serious violation of historically formed ideas re- cess”, competent stakeholders have to assess whether garding the separation of the spheres of the state and the value of using a vulnerability for security tasks is of the citizen and, in addition, a violation of the prin- justifiable compared to the risk of the vulnerability be- ciple of the presumption of innocence. ing exploited by criminals and other attackers, or if the A third approach, however, is compatible with both risk outweighs the value, so that the vulnerability of these restrictions. Targeted access to computers or should be reported rather than exploited. The gain in smartphones by hacking the systems (also called “ac- reporting a vulnerability for patching must be weighed tive measures”) neither requires backdoors nor mass against the gain of its use for active government secu- surveillance and is structurally much more similar to rity purposes. conventional, pre-digital measures. The author has This paper aims to provide some analysis and com- recommended this as a solution several times in the mentary on this weighing process by looking more past in governmental hearings. But this approach is closely at possible procedures, their trade-offs and more demanding and more difficult. High levels of com- side-effects. petence need to be acquired, vulnerabilities often have limited shelf-lives, and access often needs to be main- Should a weighing process be formalized at all? tained in complicated ways. In addition, the presorting First insights from documents of the Electronic Frontier of suspects and the identification of their digital de- Foundation on the American "Vulnerability Equities vices without mass monitoring must be achieved by Process" do not reveal much about how the weighing other means. Still: A determined and broad-based cul- processes there work. It seems to be a case-by-case de- tivation of skills and the use of private sector partners cision, by teams of involved or responsible stakehold- Page 1 of 12
DSI Industrial & Policy Recommendations (IPR) Series
Recommendations for the Development of Vulnerability Equities Processes
ers. The decision-making process itself is not transpar- of this vulnerability for solving crimes or for opera-
ent, but appears to be shaped by regional governmen- tional intelligence or military use.
tal mentalities. Intelligence services are leading the Simple cases would be vulnerabilities where either
process, which means that the emphasis seems to be criticality is very low and value is very high or criticality
on enabling active government capabilities. is very high and value is very low. However, such cases
As clear procedures and criteria are not visible yet, will rarely be unambiguous.
the decision-making process will be a political negotia- For the assessment of criticality and value, several
tion. It will be subject to typical political dynamics and criteria to be evaluated can be identified.
difficult to predict or retrace in large parts, depending
on the number of participants and the length of the Criticality:
proceedings. Influences can arise from political inter- Expected CVSS classification and the reasons for
ests above and below them, power and hierarchy struc- it
tures, the cultures of communication and error, men- Nature and distribution of affected systems (tar-
talities around security, rotation processes, get range)
particularly committed individuals, cooperative inter- Economic criticality of the target range
ests, the daily press, opposition activities or other sim-
Strategic criticality of the target range
ilarly volatile factors. Politically trained and more ca-
Possible strategic effects
pable entities will have a latent advantage and will be
able to better assert their interests. Possible systemic effects
This non-formal procedure has the advantage of giv- Safety criticality of the target range
ing the actors a greater scope for action and more flex- Simplicity of exploit development
ibility to some extent, as arguments can be introduced Possible technical localities of the effect
outside of a rigid framework. As a result, changes in
Effectiveness and potential of exploits
the relevant strategic field can be better reacted to.
Speed and acceleration of exploit development
However, there is also the risk of wrong decisions, for
example, if less competent or unilaterally interested and deployment
entities with - in one direction or another – misaligned Usability as stage in modular attacks
or harmful interests win the negotiation process simply Migration potential of possible exploits with
on the basis of their better political competences. In propagation functionalities
addition, in the current process, accountability and re-
Migration potential of possible exploits without
sponsibility are hard to pinpoint, leading probably to
propagation functionalities
an inappropriately high risk appetite – a typical prob-
lem in the US – or to its contrary, if actors are overly Possible mass effects
afraid to be made responsible for anything happening Predictability of effects
somewhere in a rather diffuse and controversial pro- Possible direct damage
cess – a typical German problem. A more formal proce- Possible indirect damage
dure with concrete, explicit decisions based on lists of
Possible complex effects
specifications and requirements would be needed to
Possible impairments of safety
achieve more accountability.
A wise solution on how to formalize the process Common case by actor class
would perhaps aim for a semiformal procedure in which Worst case by actor class
fixed criteria for evaluation must be followed, but Cost efficiency for other actors
without prescribing a decision. The strategic compo- Dual-use aspects
nent, which may be important under certain circum-
Ease of detection
stances, would thus have a political right of veto with-
Ease of patching
out reducing accountability.
The manufacturer's willingness and ability to co-
What needs to be evaluated? operate in patching
As explained above, the gain of reporting a vulnerabil-
ity for patching must be weighed against the gain of Value:
using this vulnerability for governmental hacking in a Relevance of access
weighing process. More concretely, the assessment Tactical access requirements
could be determined as "criticality versus value" by Depth of access
considering the criticality of a vulnerability for the in-
Simplicity of access
dividual and systemic security of IT against the value
Sustainability of access
Page 2 of 12DSI Industrial & Policy Recommendations (IPR) Series
Recommendations for the Development of Vulnerability Equities Processes
Risk of detection Risk of attribution
Distance to relevant vulnerability discovery pro- Risk of post-attribution
cesses
Expected shelf-life of the exploit Which problems can arise during the weighing
process?
Simplicity of exploit development
Several problems can arise during the process of as-
Elegance of possible exploits
sessing and comparing criticality and value.
Expected exploit quality (e. g. stability, size, A first problem is the comparison of different cate-
process size, functionality, camouflage, plat- gories. For some vulnerabilities, only monetary damage
form width, interference with other apps, agil- and (in many cases rather hypothetical) losses of pri-
ity, tunneling) vacy can be stated in the view of criticality, whereas
in the view of value, human life is often the decisive
Tactical enablement by exploit (e. g. persis-
basis. Vulnerabilities in mobile phones are one exam-
tence, stealth, modularization, escalation & el-
ple. These allow criminals to steal private data, black-
evation, interception, exfiltration, trace con- mail people or disrupt services, all of these being ra-
trol, manipulation) ther petty crimes with little damage, whereas
Forensic value of the exploit prosecutors, intelligence services and the military can
Number of alternatives closely follow or uncover malicious actors, generating
a rather high value for investigations and a prevention
Comparison of effectiveness, efficiency, cost-
of danger to life. Because of this disparity of catego-
efficiency and quality of alternatives
ries, political preferences will not be completely ex-
Exclusivity cluded from the assessment. A different story may arise
in more authoritarian countries. They abuse mobile
Many other criteria would be possible, for example by phone vulnerabilities to monitor, control, arrest or
cross-classification of classical risk assessments such as murder democratic forces or human rights activists.
STRIDE, although a reorientation of these rather tech- This, however, does not have to concern us, as these
nical criteria would have to take place to assess sys- countries are usually heavily biased towards active se-
temic effects in the entire possible target range and to curity in the first place and will rather not report vul-
generate comparability. nerabilities anyhow.
Another important consideration is the possibility of Another difficulty in weighing is the fact that most
securing the vulnerabilities (OPSEC), so that they are criteria need to be evaluated on the most mysterious
not stolen or accidentally or intentionally leaked. Es- level of cybersecurity: the level of tactics. Many of the
pecially the leaks of the Shadowbrokers or Vault7 have applicable characteristics will have to be considered in
demonstrated that this can lead to a considerable their real or possible immediate context, and this can
change in the overall risk and thus also to a significant be determined for both, criticality and value, only at
change in the weighing of criticality versus value. Here, the tactical level. Tactical enablement and possible
too, some characteristics can be queried whose assess- tactical effects must be considered to be able to iden-
ment must contribute to the overall view. tify direct and indirect effects, as well as potential
strategic damages and consequences. This must also be
OPSEC: done in comparison to other variants of tactical proce-
Conditions for containment dures. For example, if a particular vulnerability pro-
Possibility of phased exfiltration of the exploit vides a novel tactical option of high value because of
an exotic position, while criminals do not require this
Possibility of operational control
particular vulnerability as they use different methods
Possible levels of a cyber OPSEC
in this tactical context, the criticality is less urgent,
Assurance level of cyber OPSEC while the value is higher.
Possibility of a detection of loss The major problem with tactical level evaluation,
Possibility of a detection of misuse by other ac- however, is the lack of open analysis of this level. In
tors most cases, tactics are only known to those who are
Localizability (limitability) of the exploit operationally active, both offensive and defensive, so
a large part of them fall under high secrecy. And even
Localizability (limitability) of the attack
there, “in the know”, the knowledge to systematically
Possible interest of third parties evaluate and compare tactics is often underdeveloped
Usability for third parties and incomplete. In most cases, tactical hackers still
Strategic risk in the event of loss tinker their way into a system to apply only a rudimen-
Risk of detection of current activities tary set of follow-on tactics of elevation, escalation or
Page 3 of 12DSI Industrial & Policy Recommendations (IPR) Series
Recommendations for the Development of Vulnerability Equities Processes
persistence. In addition, tactics often depend on highly The gray market prices of exploits could be seen as
variable factors, so an evaluation must always be made an indicator for the security maturity of a system and
and maintained at a very current level. the relevance of reporting vulnerabilities, but these
prices are also influenced by a number of other typical
Does reporting vulnerabilities lead to an market factors, such as existing tools, available know-
increase in IT security? how, required resources, necessary specialist
For many vulnerabilities, which lie between the two knowledge, and type of need, so that only qualitative
extremes "clearly critical" or "clearly high quality", an- relations may be read off there.
other interesting problem can be indicated, which must
be given a little more space in the discussion: the in- How would a new vulnerability regime affect
fluence of reporting vulnerabilities on IT-security at actors?
large. Unfortunately, it is far from certain that the Another important question is if more vulnerabilities
patching of vulnerabilities leads to a maturing of secu- were actually reported if a weighing process were to
rity. be regulated explicitly. This can be judged by consid-
The first doubts may be raised solely based on the ering how actors are likely to change their behavior in
number of vulnerabilities. While it has become signifi- the event of explicit regulation.
cantly more difficult for some areas such as the iOS, The intelligence, criminal and military actors who
the Android kernel or some TrustZone implementations seek vulnerabilities for offensive purposes are under
to find structurally known vulnerabilities, in other ar- great financial and performance pressure in all coun-
eas such as operating systems, most applications or tries without exception. In addition, in the area of
ERPs, there are still many hundreds to thousands to "hacking", almost all of them have hardly been able to
hundreds of thousands of vulnerabilities to be found. build up any significant competencies, so that only a
These figures also tend to increase over time in the di- few good hackers are available at all. In many, even
rection of security maturity, due to new developments large industrialized countries, these are often no more
with new bugs severely outpacing the removal of old than a handful to a few dozen people, with little op-
bugs. This is especially relevant in the current digitiza- tions to scale. As a result, these agencies will not put
tion mania, with many start-ups with high pressure, lit- these very limited and much-needed resources into
tle time and no quality assurance producing lots of identifying vulnerabilities that they are not guaranteed
buggy code on top of the overall IT ecosphere. In addi- to benefit from. They will set up a process of prior eval-
tion, according to current statistics, approximately one uation that will examine before the discovery process
third of these start-ups have increased CVSS criticality which vulnerabilities could actually be used actively,
in office IT, and about half in industrial IT. and which ones must be reported, so that only those
Consequently, if a normal IT product contains not that can be used are worked on. It is therefore unlikely
just a few dozen, but constantly thousands of critical that any vulnerabilities will be reported from these in-
vulnerabilities, and if the development and design pat- stitutions at all. In comparison to the current situation,
terns continually increase this number, it can be ar- a net loss would be more likely to result from reporting
gued that the reporting of individual vulnerabilities will vulnerabilities. Critical vulnerabilities are currently re-
not lead to a significant or sustainable overall increase ported in some cases, as the detection process is not
in security anyhow - even if they have a high level of structured to a reporting requirement.
criticality. Capable and motivated attackers will find a Government agencies could play another role. A
critical vulnerability if they search specifically and sys- more proactive regulatory option would be to set up a
tematically, no matter what. And most state authori- government institution of its own to detect vulnerabil-
ties require only a very few vulnerabilities per system ities and communicate them to the software industry.
anyway. This will have a lasting effect on the balance However, this government agency would have to
between criticality and value. For most systems, even reckon with high competition for the available talents,
the reporting of highly critical vulnerabilities will pro- while at the same time facing a much more boring task,
duce no significant increase in overall security, while and thus hardly have a chance to build up a significant
the value of the vulnerabilities immediately collapses competent workforce. Under normal salary and work-
completely. ing conditions, there will be scarcely more than ten to
Unfortunately, the facts for a precise assessment of twenty people who are able to find vulnerabilities in
the systemic security effect are extremely weak. There large and already post-hardened legacy systems in
are no accurate measurements or even well informed manual code analysis above the quality of technical
estimates available, so only guesstimates based on the analysis tools. This could only be achieved in smaller
few known defect rates and experience of the hacking specialist areas where special expertise can be ac-
community can be made. quired and where standard analysis tools do not work
as well. An example are some fields of industrial IT. In
Page 4 of 12DSI Industrial & Policy Recommendations (IPR) Series
Recommendations for the Development of Vulnerability Equities Processes
addition, such a government-funded agency would be forward. The federal government of Germany has al-
exposed to the justified accusation of assuming an ex- ready been offered vulnerabilities at the BSI, where
pensive and cumbersome task for the IT industry, which consideration has been given on how to deal with them.
in this way can unjustifiably turn its own costs incurred From a legal point of view, the interesting question
as a result of negligence in quality assurance into costs arises as to whether a legally formalized process of re-
for the public. porting creates an obligation to purchase such vulner-
Another actor who would change his behavior would abilities, which in turn could lead to a presumably un-
be the gray market of exploit resellers and freelance favorable development. A gray market of its own could
government hackers. These would only sell with great arise, specifically for the weaknesses regarded by
caution to governments that have a reporting process, states as critical, with a rather high-priced structure
unless it can be explicitly and reliably assured that the and to the "disadvantage" of the bug bounty programs
purchased vulnerability or exploit will not be made of the software industry, which could convert their own
public, or they would only sell at exclusive prices which costs into public costs again.
would be on average two to three times the normal
prices. Even then, however, some providers could be What are possible global strategic
rather cautious, as a publication of the vulnerability consequences?
often also provides the manufacturer with conclusions The international strategic implications of the resulting
about the methods or perspectives of the hacker, so asymmetry between countries without a reporting reg-
that the hacker’s potential for action and thus the mar- ulation and countries with such a regulation may also
ket value are also more fundamentally weakened. become problematic. States without a formal disclo-
One variation of this actor are hackers who collect sure process will be much less constrained to find vul-
bug bounties by reporting vulnerabilities directly to the nerabilities and to develop exploits. They will be faster
software industry and not selling them in the gray mar- because they do not have to go through reviews, be-
ket, because the value would be below the bounty, or cause they can also use easily found vulnerabilities and
because the grey market is a political no-go, scary or because they can use a wider range of talents. They
inaccessible to them. These hackers are currently only may also be more popular customers for some parts of
of secondary importance, since the gray market at- the exploit gray market.
tracts many more than bug bounty programs, and they As a result of these development and procurement
would only change their behavior and pass vulnerabili- advantages, their military and intelligence cyber oper-
ties on to states with reporting processes if they were ations will be much more tactically flexible and agile
offered a bounty with higher value or if they were dis- as they offer them more options and as a different and
appointed by the behavior of the software industry. broader tactical combinatoric approach can be used.
This may currently only apply to a small number of ra- Since only a few target ranges would be categorically
ther less relevant vulnerabilities. excluded, the selection of possible strategic options
Nor will other companies that routinely report weak- will also be significantly broader and relevant actors
nesses to the manufacturers in the software they are could work in many fields that are not accessible to
running change their behavior. They follow established others. In addition, over time, not only the arsenals but
processes that are unlikely to be affected by a state also the capabilities of the operators in these countries
reporting process. will become significantly better than those of states
For software vendors, some implications could arise, with a strong regulation of vulnerability reporting.
but these are still difficult to estimate at present, as Also, it can be assumed that states without a strong
the modalities of the cooperation would have to be civil society, democracy and the rule of law or states
clarified first. However, if many countries report vul- in harsher conflict situations are more likely to re-
nerabilities, many windows of opportunity will be cre- nounce a reporting process and will also make targeted
ated and a net loss of security is to be expected, be- use of the asymmetric advantages of a stricter vulner-
cause the manufacturers' ability to patch is already at ability regime in other countries. Therefore, an asym-
the end of its capacity. metric offensive enablement of authoritarian states
could be a direct strategic consequence.
Should exploits be bought to publish them?
The idea that government agencies buy expensive vul- How can the process of state exploit
nerabilities from the gray market to report them development be made more secure?
sounds absurd at first. States acting in this way would There are a number of options to make the state's de-
parallelize bug bounty programs of the software indus- velopment of hacker attacks more secure and to im-
try and in the medium term would infiltrate and kill prove the relationship between criticality and value.
them due to the significantly higher prices with the On the one hand, both characteristics should be con-
same outcome. But such thoughts were actually put sidered when purchasing and developing or customizing
Page 5 of 12DSI Industrial & Policy Recommendations (IPR) Series
Recommendations for the Development of Vulnerability Equities Processes
exploits. On the other hand, all possible procedures for and develop patches as far as possible externally. As
a very high OPSEC must be identified and rigorously im- soon as the vulnerability becomes known, this
plemented. knowledge can be immediately communicated to the IT
Finally, there are a number of other options that industry, and it can be assisted in patching to signifi-
minimize risks for the wider public. cantly shorten the window of opportunity between a
First, offensive government agencies should prefer vulnerability becoming known and rolling out the
to develop and buy high-value and exotic exploits and patch.
vulnerabilities. These are less likely to be detected by A number of other measures could be developed.
criminals or other less talented opponents, so that the
risk of non-reporting is reduced proportionally. A com- Final remarks
prehensive methodology could be developed in this di- The observations have shown that a reporting of vul-
rection, since, fortunately, high-value and exotic ex- nerabilities used by the state for active measures is
ploits can still be identified as categories and since likely to have only a minor effect on the increase in
corresponding skills in developers and sellers can be overall technical IT security. On the other hand, the
identified as well, as a high degree of competence in value of the work of the security authorities is in many
this field is required. cases considered high, due to the high tactical enable-
Second, offensive government agencies could also ment against potential malicious actors. The demand
seek to identify whether the vulnerabilities they use of some, that state authorities should refrain from pro-
have been discovered and are being exploited by oppo- actively exploiting vulnerabilities for active measures
nents. Vulnerability-specific indicators of compromise therefore does not seem to make much sense; the net
could be developed and deployed in special, diode-pro- effect in security would be negative.
tected honeypots to analyze attacks for according indi- Nevertheless, processes can be introduced that al-
cators. If attacks are identified that could involve a vul- low a more precise assessment and an informed, ac-
nerability in use, the IT industry could be informed countable and cautious handling of offensively used
accordingly. vulnerabilities.
Third, offensive government agencies can produce
extensive documentation for their own vulnerabilities
The DSI Industrial & Policy Recommendations (IPR) Series is published by the Digital Society Institute of ESMT Berlin,
http://dsi.esmt.org.
© 2017 ESMT European School of Management and Technology GmbH.
This paper may be distributed freely according to the CreativeCommons license Attribution-NonCommercial-NoDe-
rivatives 4.0 International. https://creativecommons.org/licenses/by-nc-nd/4.0/
Page 6 of 12DSI Industrial & Policy Recommendations (IPR) Series Empfehlungen zur Organisation der Nutzung von Schwachstellen für staatliche Sicherheitszwecke Sandro Gaycken (Digital Society Institute, ESMT Berlin) Ausgabe 7, 2017 Wie kann das Problem modelliert werden? die dann in höherem Maße konform ist mit deutschen Schwachstellen, auch bekannt als „Vulnerabilities“, strategischen und politischen Interessen. „Bugs“ oder „Vulns“, sind strukturelle Fehler oder Pro- Allerdings kann ein anderer möglicher Konflikt mit grammierfehler, die von Hackern ausgenutzt werden dieser Vorgehensweise diskutiert werden. Denn werden können, um direkt Zugang zu den Systemen zu erhalten Schwachstellen entdeckt, werden diese in allen ande- oder um Angriffe zu bauen, sogenannte „Exploits“. ren Fällen an die Softwarehersteller gemeldet, damit Schwachstellen und Exploits haben in den letzten diese sie beheben („Patchen“) können. So wird eine Jahren eine kritische Relevanz für staatliche Behörden spätere oder weitere Nutzung der Schwachstellen durch im Sicherheitsbereich bekommen. Diese Behörden müs- Kriminelle oder andere Angreifer verhindert. Die für sen im Kontext von Aufklärung, Forensik und Überwa- staatliche Zugriffe genutzten Schwachstellen müssen chung in der Lage sein, auf fremde Smartphones und allerdings in den Produkten verbleiben, um für Überwa- Rechner zuzugreifen. Zwei Varianten dieses Zugriffs chung, Forensik und Aufklärung genutzt werden kön- sind in Deutschland strategisch und politisch uner- nen, so dass die staatlichen Behörden diese gerade wünscht und weitgehend technisch oder regulativ aus- nicht melden werden. So könnte eine höhere Unsicher- geschlossen: der gezielte Einbau von Schwachstellen als heit an anderen Orten entstehen, indem Schwachstel- „Hintertüren“ in Technologieprodukte, rechtlich von len von Kriminellen genutzt werden, die staatlichen Be- den Herstellern erzwungen, und verdachtslose Massen- hörden eigentlich bekannt sind und durch diese überwachung. Ein Einbau von Hintertüren ist vor allem behoben werden könnten. Entsprechend entstehen in strategisch unklug, da so das Vertrauen in deutsche einigen Staaten erste Vorstellungen und Verfahren zu Technologieprodukte im Exportmarkt stark beeinträch- einer Beurteilung der möglichen Folgen des Nichtmel- tigt würde und mit Exporteinbußen zu rechnen wäre. dens der von den Sicherheitsbehörden entdeckten Massenüberwachung dagegen verstößt stark gegen his- Schwachstellen. In diesen Prozessen, in den USA etwa torisch geprägte Vorstellungen zur Trennung staatlicher als „Vulnerability Equities Process“ bekannt, soll erwo- und privater Handlungsräume. gen werden, ob der Wert der Nutzung einer Schwach- Eine mit beiden Einschränkungen verträgliche Vorge- stelle für Sicherheitsaufgaben gegenüber dem Risiko ei- hensweise dagegen ist der gezielte Zugriff auf Rechner ner Ausnutzung der Schwachstelle durch kriminelle und oder Smartphones durch das Hacken der Systeme. Der andere Angreifer vertretbar ist oder ob das Risiko über- Autor hat dies in der Vergangenheit mehrfach als Lö- wiegt, so dass die Schwachstelle eher gemeldet als ge- sungsweg empfohlen. Diese Vorgehensweise ist jedoch nutzt werden sollte. Der Gewinn der Meldung einer voraussetzungsreicher und schwieriger. Hohe Kompe- Schwachstelle für ein Patching muss gegen den Gewinn tenzen müssen angeschafft und vorgehalten werden, ihrer Nutzung für staatliche Sicherheitsaufgaben abge- Schwachstellen haben oft nur begrenzte Lebensdauern, wogen werden. und Zugänge müssen oft manuell erhalten werden. Zu- Dieses Papier will einige Analysen und Kommentare zu dem muss die Vorsortierung von Verdächtigen und die dieser Abwägungsfrage bieten. Identifikation ihrer digitalen Geräte ohne Massenüber- wachung über andere Wege erreicht werden. Über ei- Sollte ein Abwägungsprozess überhaupt nen entschlossenen und breiten Anbau von Fähigkeiten, formalisiert werden? sowie über die Nutzung privater Exploit Reseller kann Erste Einsichten aus Dokumenten der Electronic Fron- allerdings eine hinreichende Fähigkeit erreicht werden, tier Foundation zum amerikanischen „Vulnerability Seite 7 von 12
DSI Industrial & Policy Recommendations (IPR) Series
Empfehlungen zur Organisation der Nutzung von Schwachstellen für staatliche Sicherheitszwecke
Equities Process“ verraten nicht viel darüber, wie Ab- „Kritikalität gegen Wert“ anstellen, indem die Kritika-
wägungsprozesse ablaufen. Es scheint jeweils eine Fall-
lität einer Schwachstelle für die individuelle und syste-
zu-Fall-Entscheidung getroffen zu werden, in Teams
von betroffenen oder verantwortlichen Einheiten. Der mische Sicherheit der IT gegen den Wert dieser
Entscheidungsprozess selbst ist nicht transparent, Schwachstelle für die Aufklärung von Verbrechen oder
scheint aber von regionalen Regierungsmentalitäten ge- die operative nachrichtendienstliche oder militärische
prägt zu sein. In den USA leiten etwa die Nachrichten- Nutzung erwogen wird.
dienste den Prozess, so dass ein Hauptgewicht auf der Einfache Fälle wären Schwachstellen, in denen ent-
Ermöglichung staatlicher Fähigkeiten zu liegen scheint. weder Kritikalität sehr niedrig und Wert sehr hoch wä-
Da klare Verfahren und Kriterien aber derzeit noch ren oder Kritikalität sehr hoch und Wert sehr niedrig.
nicht zu erkennen sind, wird die Entscheidung in den Solche Fälle werden aber nur selten eindeutig eintre-
meisten Fällen ein politischer Aushandlungsprozess ten.
sein. Dieser unterliegt damit typischen politischen Dy- Allgemein lassen sich eine ganze Reihe von Kriterien
namiken und wird je nach Anzahl der Beteiligten und anbringen, anhand derer Kritikalität und Wert evaluiert
Länge des Verfahrens in weiten Teilen schwer vorher- werden können.
sagbar oder nachvollziehbar sein. Einflüsse können
durch darüber und darunterliegende politische Interes- Kritikalität:
sen, Macht- und Hierarchiegefüge, Fehlerkultur, Sicher- Zu erwartende CVSS Einstufung und die Gründe
heitskultur, Rotationsverfahren, besonders engagierte dafür
Einzelpersonen, Kooperationsinteressen, tagesaktuelle Art und Verbreitung betroffener Systeme (Target
Presse, Oppositionsinteresse oder andere, ähnlich vola-
Range)
tile Faktoren entstehen. Politisch geschultere und fähi-
gere Entitäten werden zudem latent im Vorteil sein und Ökonomische Kritikalität der Target Range
ihre Interessen besser durchsetzen können. Strategische Kritikalität der Target Range
Dieses informelle Verfahren hat den Vorteil, den be- Mögliche strategische Effekte
troffenen Akteuren breitere Handlungsspielräume ein- Mögliche systemische Effekte
zuräumen, da prinzipiell auch außerhalb eines starren Sicherheits-Kritikalität der Target Range
Rahmens liegende Argumente eingebracht werden kön-
Einfachheit der Entwicklung von Exploits
nen und da so auch auf Veränderungen im relevanten
Mögliche technische Lokale der Wirkung
strategischen Anwendungsfeld besser reagiert werden
kann. Allerdings besteht auch das Risiko schwerer Fehl- Effektivität und Potential der Exploits
entscheidungen, indem sich etwa weniger kompetente Geschwindigkeit und Beschleunigung der Ex-
oder einseitig interessierte Entitäten mit in die eine o- ploit-Entwicklung und der Exploit-Nutzung
der andere Richtung - eher schädlichen Interessen al- Nutzbarkeit als Stufe in modularen Angriffen
lein aufgrund politischer Kompetenz durchsetzen. Zu-
Migrationspotential möglicher Exploits mit Wei-
dem kann in dem aktuellen Prozess kaum Rechenschaft
terverbreitungsfunktionalitäten
abgelegt und damit Verantwortlichkeit für Entscheidun-
gen angebracht werden. Um Rechenschaftspflicht zu Mögliche Masseneffekte
schaffen, wäre ein formaleres Verfahren mit konkreten, Vorhersagbarkeit von Wirkungen
expliziten Entscheidungen auf Basis festgesetzter Lis- Mögliche direkte Schäden
ten von Spezifikationen und Anforderungen erforder- Mögliche indirekte Schäden
lich.
Mögliche komplexe Effekte
Eine kluge Einrichtung würde eventuell ein semifor-
Mögliche Sicherheitsbeeinträchtigungen
males Verfahren anstreben, in dem zwar feste Kriterien
einer Bewertung durchgegangen werden müssen, ohne Common Case nach Akteursklassen
jedoch eine Entscheidung vorzuschreiben. So hätte die Worst Case nach Akteursklassen
unter Umständen wichtige strategische Komponente Kosteneffizienz für Angreiferklassen
ein politisches Vetorecht, ohne Verantwortlichkeit re- Dual Use Aspekte
duzieren zu können.
Einfachheit der Detektion
Einfachheit des Patching
Was muss bewertet werden?
Wie oben erläutert muss in einem Abwägungsprozess Kooperationsbereitschaft und -fähigkeit des Her-
der Gewinn der Meldung einer Schwachstelle für ein stellers im Patching
Patching gegen den Gewinn einer Nutzung dieser
Schwachstelle für staatliche Sicherheitsaufgaben abge- Wert:
wogen werden. Konkreter ließe sich die Abwägung als Relevanz des Zugangs
Seite 8 von 12DSI Industrial & Policy Recommendations (IPR) Series
Empfehlungen zur Organisation der Nutzung von Schwachstellen für staatliche Sicherheitszwecke
Bedarf des Zugangs Lokalisierbarkeit (Begrenzbarkeit) des Angriffs
Tiefe des Zugangs Mögliches Interesse dritter Parteien
Einfachheit des Zugangs Nutzbarkeit für dritte Parteien
Nachhaltigkeit des Zugangs Strategisches Risiko bei Verlust
Risiko der Entdeckung des Zugangs Risiko der Detektion laufender Tätigkeiten
Abstand zu relevanten Vulnerability Discovery Risiko der Attribution
Prozessen Risiko der Nach-Attribution
Erwartetes Shelf-Life des Exploits
Einfachheit der Exploit-Entwicklung Was für Probleme können im
Abwägungsprozess entstehen?
Eleganz des Exploits
Im Abwägungsprozess selbst können allerdings eine
Erwartete Qualität des Exploits (z.B. Stabilität,
Reihe von Problemen entstehen.
Größe, Prozessgröße, Funktionalität, Tarnung, Ein erstes Problem ist der Vergleich unterschiedli-
Breite der Plattformen, Interferenz mit anderen cher Kategorien. Bei einigen Schwachstellen können in
Apps, Agilität, Tunneling) der Betrachtung der Kritikalität nur monetäre Schäden
Taktische Ermächtigung durch Exploit (z.B. Be- und (meist eher hypothetische) Schäden an Privatheit
angegeben werden, während in der Betrachtung des
ständigkeit, Tarnung, Modularisierbarkeit, Eska-
Wertes nicht selten Menschenleben die ausschlagge-
lation & Elevation, Abfangen, Extraktion, Spu-
bende Basis bilden. Ein Beispiel sind Schwachstellen in
renkontrolle, Manipulation) Mobiltelefonen. Diese ermöglichen Kriminellen höchs-
Forensische Wertigkeit des Exploits tens Erpressungen oder Störungen, während aber eine
Anzahl der Alternativen Nutzung durch Strafverfolger, Nachrichtendienste und
Vergleiche der Effektivität, Effizienz und Quali- Militärs erheblichen Wert bei der Aufklärung und Ver-
hinderung von Gefahren für Leib und Leben hat. Auf-
tät von Alternativen
grund dieser Andersartigkeit der Kategorien werden bei
Exklusivität
der Bewertung politische Präferenzen nicht völlig aus-
zuklammern sein.
Viele weitere Punkte wären möglich, etwa indem klas-
Eine weitere Schwierigkeit bei der Abwägung besteht
sische Risikobewertungen wie STRIDE querklassifiziert
darin, dass die Bewertung hauptsächlich auf der takti-
werden, wobei aber eine Neuausrichtung dieser eher
schen Ebene stattfinden muss. Viele der anwendbaren
eng technischen Kriterien mindestens auf systemische
Charakteristiken werden in ihrem realen oder mögli-
Effekte in der gesamten möglichen Target Range und
chen Kontext betrachtet werden müssen, und dieser
auf Vergleichbarkeit stattfinden müsste.
lässt sich sowohl für Kritikalität als auch für Wert nur
Eine weitere wichtige Komponente der Abwägung
auf der Ebene der Taktik festmachen. Taktische Er-
liegt zwischen Kritikalität und Wert: die Möglichkeit der
mächtigungen und mögliche taktische Wirkungen müs-
Sicherung der gefundenen Schwachstellen (OPSEC), so
sen primär identifiziert werden, um direkte und indi-
dass diese nicht gestohlen oder versehentlich oder ab-
rekte sowie strategische Schäden und Folgen
sichtlich geleakt werden. Vor allem die Leaks der Sha-
betrachten zu können. Dies muss zudem komparativ zu
dowbroker oder Vault7 haben demonstriert, dass so
anderen Varianten taktischer Verfahrensweisen gesche-
eine erhebliche Veränderung des Gesamtrisikos und da-
hen. Wenn etwa eine bestimmte Schwachstelle einen
mit auch eine starke Veränderung des Abwägungsge-
taktischen Zugang ermöglicht, der durch seine exoti-
wichts von Kritikalität und Wert entstehen kann. Auch
sche Position für einen Dienst gut nutzbar ist, die glei-
hier können einige Charakteristiken abgefragt werden,
che Taktik aber für Kriminelle mit bereits deutlich güns-
deren Einschätzung zur Gesamtbetrachtung beitragen
tigeren Methoden durchgeführt werden kann, ist eine
muss:
Kritikalität weniger wahrscheinlich, während der Wert
höher ist.
OPSEC:
Das größere Problem bei der Bewertung der takti-
Bedingungen für die Einbehaltung schen Ebene ist allerdings der Mangel an Analysen die-
Möglichkeit der phasenweisen Extraktion des Ex- ser Ebene. Zumeist sind Taktiken nur denjenigen be-
ploits kannt, die operativ damit tätig sind, offensiv wie
defensiv, so dass ein großer Teil unter hohe Geheimhal-
Möglichkeit der operativen Kontrolle
tung fällt. Selbst dort ist aber das Wissen zur Bewertung
Mögliche Level der Cyber OPSEC
von Taktiken noch meist stark unterentwickelt und lü-
Einfachheit der Detektion eines Missbrauchs ckenhaft. Zudem sind Taktiken oft von stark veränder-
Lokalisierbarkeit (Begrenzbarkeit) des Exploits
Seite 9 von 12DSI Industrial & Policy Recommendations (IPR) Series
Empfehlungen zur Organisation der Nutzung von Schwachstellen für staatliche Sicherheitszwecke
lichen Faktoren abhängig, so dass eine Bewertung im- auch nur gut informierte Abschätzungen verfügbar, so
mer auf einem aktuellen Niveau getroffen und gehalten dass nur Schätzungen auf der Basis der wenigen bekann-
werden muss. ten Defektraten und auf Erfahrungswerten der Hacking-
Community unternommen werden können. Die Schwere
Führt das Melden von Schwachstellen des Entdeckens von Schwachstellen, die sich etwa in
überhaupt zu einer Erhöhung der IT- den Graumarktpreisen der Exploits abbildet, kann aller-
Sicherheit? dings nur begrenzt als Maßstab betrachtet werden, da
Für viele Schwachstellen, die zwischen den beiden Ext- diese noch von einer Reihe anderer Faktoren maßgeb-
remen „eindeutig kritisch“ oder „eindeutig hochwer- lich beeinflusst werden, wie etwa vorhandene Tools,
tig“ liegen, kann ein weiteres interessantes Problem vorhandenes Knowhow, erforderliche Ressourcen, not-
betrachtet werden, dem etwas mehr Raum in der Dis- wendige Fachkenntnisse, sowie Art des Bedarfs, so dass
kussion gegeben werden muss: der Einfluss auf die sys- dort zwar qualitative Relationen, aber kein direktes
temische Sicherheit. Es kann nämlich auf Seiten der Kri- Verhältnis abgelesen werden darf.
tikalität nicht genau gesagt werden, ob das Melden und
Patchen von Sicherheitslücken überhaupt einen signifi- Wie würde sich ein neues
kanten Härtungseffekt auf die dahinterliegende IT- Schwachstellenregime auf Akteure ausprägen?
Landschaft hat, ob also das vereinzelte Patchen von Eine weitere wichtige Frage ist, ob bei einer expliziten
Schwachstellen zu einer echten Reifung der Sicherheit gesetzlichen Regulierung der Abwägung überhaupt
führt oder nicht. mehr Schwachstellen gemeldet würden. Dies kann be-
Ein erster Zweifel darf allein aufgrund der Anzahl von urteilt werden, wenn bedacht wird, wie die Akteure ihr
Schwachstellen angemeldet werden. Während es für ei- Verhalten bei einer expliziten Regulierung voraussicht-
nige Bereiche wie das iOS, den Android Kernel oder ei- lich ändern würden.
nige TrustZone Umsetzungen deutlich schwerer gewor- Die nachrichtendienstlichen, kriminalistischen und mi-
den ist, in ihrer Struktur bekannte Schwachstellen zu litärischen Akteure, die Schwachstellen für Offensiv-
finden, sind in anderen Bereichen wie Betriebssystemen zwecke suchen, stehen in allen Ländern ohne Ausnahme
und den meisten Anwendungen immer noch viele hun- unter hohem finanziellen und Leistungsdruck. Im Be-
dert bis viele tausend Schwachstellen anzunehmen, in reich „Hacking“ haben zudem beinahe alle kaum nen-
den meisten Anwendungen anteilsproportional noch nenswerte Kompetenzen aufbauen können, so dass nur
deutlich mehr. Diese Zahlen werden sich zudem durch wenig gutes Personal überhaupt zur Verfügung steht. In
hinzukommende Neuentwicklungen, insbesondere im vielen, selbst großen Industrieländern sind das oft nicht
aktuellen Digitalisierungswahn, über die Zeit konstant mehr als ein bis einige Dutzend Personen. Folglich wer-
vergrößern und nicht in Richtung einer Sicherheitsreife den diese Akteure diese stark beschränkten und drin-
verringern. Des Weiteren hat nach gängigen Statistiken gend benötigten Ressourcen nicht in das Aufdecken von
in der Office-IT etwa ein Drittel davon eine erhöhte Schwachstellen stecken wollen, die ihnen nicht garan-
CVSS-Kritikalität, in der Industrial-IT etwa die Hälfte. tiert zugutekommen. Sie werden einen Prozess der vo-
Wenn folglich in einem normalen IT-Basisprodukt nicht rangehenden Bewertung einrichten, der vor dem Pro-
nur einige Dutzend, sondern konstant viele tausend kri- zess der Entdeckung prüfen wird, welche
tische Schwachstellen vorhanden sind und wenn die Schwachstellen in welchem Bereich und in welcher Kri-
Entwicklungsprozesse ohnehin eher mehr als weniger tikalität entdeckt werden dürfen und welche abgege-
Schwachstellen einbringen müssen, kann argumentiert ben werden müssten, so dass nur an denen gearbeitet
werden, dass das Melden einzelner Schwachstellen wird, die auch genutzt werden können. Damit ist nicht
selbst bei einer hohen Kritikalität keine nennenswerte zu erwarten, dass aus diesen Institutionen überhaupt
oder nachhaltige Gesamterhöhung der Sicherheit leis- noch Schwachstellen gemeldet werden. Im Vergleich
ten wird. Fähige und motivierte Angreifer werden oh- zur aktuellen Situation entstünde also eher ein Netto-
nehin eine kritische Schwachstelle finden, wenn sie ge- verlust in der Meldung von Schwachstellen. Aktuell wer-
zielt und methodisch suchen, und die meisten den immerhin in einigen Fällen kritische Schwachstel-
staatlichen Behörden benötigen pro System ohnehin nur len gemeldet, da der Entdeckungsprozess eben nicht
einige wenige Schwachstellen. Dies beeinflusst also auf eine Meldepflicht hin vorstrukturiert ist.
nachhaltig das Verhältnis zwischen Kritikalität und Regierungsstellen könnten noch eine andere Rolle
Wert, da selbst bei der Meldung der meisten kritischen spielen. Eine stärker aktive Regulierungsoption wäre
Schwachstellen keine signifikante Erhöhung der Ge- es, eine eigene Regierungsinstitution einzusetzen, die
samtsicherheit zu erwarten ist, während aber der Wert Schwachstellen entdeckt und der Softwareindustrie
der Schwachstellen sofort vollständig kollabiert. mitteilt. Allerdings hätte diese Regierungsstelle mit ho-
Leider ist aber die Faktenlage für eine präzise Ein- her Konkurrenz um die dafür verfügbaren Talente zu
schätzung des systemischen Sicherheitseffekts unge- rechnen, bei einer gleichzeitig deutlich langweiligeren
mein schwach. Es sind keine exakten Messungen oder
Seite 10 von 12DSI Industrial & Policy Recommendations (IPR) Series
Empfehlungen zur Organisation der Nutzung von Schwachstellen für staatliche Sicherheitszwecke
Aufgabe, und damit kaum Chancen, einen nennenswer- Schwachstellen auch gepatcht werden und solange
ten kompetenten Personalstamm aufzubauen. Unter staatliche Stellen nicht eigene, höhere Bountys anbie-
normalen Gehalts- und Arbeitsbedingungen werden sich ten.
kaum mehr als zehn bis zwanzig Personen finden lassen, Für Softwarehersteller könnten sich einige Implikati-
die in der Lage sind, in großen und bereits nachgehär- onen ergeben, die aber gegenwärtig noch schwer abzu-
teten Legacy-Systemen in manueller Code-Analyse schätzen sind, da die Modalitäten der Kooperation erst
oberhalb der Qualität technischer Analysetools zu klären wären. Wenn sehr viele Staaten Schwachstel-
Schwachstellen zu finden. Lediglich in kleineren Spezi- len melden, entstehen allerdings viele Gelegenheiten,
albereichen, in denen besonderes Fachwissen angewor- weil die Fähigkeiten der Hersteller zu Patchen ohnehin
ben werden kann und in denen normale Analysetools schon am Kapazitätsende sind.
nicht greifen, wie einige Felder der Industrial IT,
könnte dies gelingen. Zudem würde eine solche staat- Sollten Exploits angekauft werden, um sie zu
lich finanzierte Stelle sich dem berechtigten Vorwurf veröffentlichen?
aussetzen, eine teure und umständliche Aufgabe der IT- Die Idee, dass staatliche Stellen teure Schwachstellen
Industrie zu übernehmen, die auf diesem Wege eigene, aus dem Graumarkt ankaufen, um sie zu melden, klingt
durch Nachlässigkeit in der Qualitätssicherung entstan- zunächst absurd. Die so verfahrenden Staaten würden
dene Kosten ungerechtfertigter Weise in hohe Gemein- damit die Bug Bounty Programme der Softwareindustrie
kosten verwandeln kann. parallelisieren und aufgrund der deutlich höheren Prei-
Ein weiterer Akteur, der sein Verhalten ändern sen mittelfristig faktisch unterwandern und abtöten.
würde, wäre der Graumarkt der Exploit-Reseller und Allerdings wurden entsprechende Gedanken tatsächlich
der auf freier Basis für Regierungsstellen arbeitenden angestellt. Die Bundesregierung hat in einigen Fällen
Hacker. Diese würden nur noch mit großer Vorsicht an bereits Schwachstellen am BSI angeboten bekommen,
Regierungen verkaufen, die einen Veröffentlichungs- bei denen überlegt wurde, wie damit zu verfahren sein.
prozess haben, sofern nicht explizit zugesichert werden Hier entsteht rechtlich die interessante Frage, ob mit
kann, dass die angekaufte Schwachstelle oder der an- einem gesetzlich formalisierten Prozess der Meldung
gekaufte Exploit nicht veröffentlicht werden, oder sie eine Verpflichtung zum Ankauf solcher Schwachstellen
würden nur zu Exklusivpreisen verkaufen, die im Schnitt entsteht, was wiederum eine vermutlich ungünstige
das zwei- bis dreifache der normalen Preise sind. Auch Entwicklung nach sich ziehen könnte. Ein eigener Grau-
dann könnten einige Anbieter allerdings eher zurückhal- markt könnte entstehen, spezifisch für die von Staaten
tend sein, da eine Veröffentlichung der Schwachstelle als kritisch angesehenen Schwachstellen, mit einer eher
dem Hersteller häufig auch Rückschlüsse auf Methoden hochpreisigen Struktur und zum „Nachteil“ der Bug
oder Perspektiven des Hackers liefert, so dass das Bounty Programme der Softwareindustrie, die damit er-
Handlungspotential des Anbieters und damit der Markt- neut eigene Kosten in Gemeinkosten umwandeln könn-
wert auch grundlegender geschwächt werden. ten.
Eine Variante dieses Akteurs sind Hacker, die Bug
Bountys kassieren, indem sie Schwachstellen der Soft- Was sind mögliche globale strategische
wareindustrie direkt melden und diese nicht im Grau- Konsequenzen?
markt verkaufen, weil der Wert dort unterhalb des Ein weiteres Element, das sich bei einer Einrichtung
Bountys liegen würde oder weil ihnen der Graumarkt eines Abwägungsprozesses ausprägen kann, sind inter-
unheimlich oder nicht zugänglich ist. Diese Hacker spie- nationale strategische Folgen für die entstehende
len gegenwärtig ohnehin nur eine eher untergeordnete Asymmetrie zwischen Ländern ohne eine entspre-
Rolle, da der Graumarkt viele deutlich stärker anzieht chende Regulierung und Ländern mit einer solchen Re-
als Bug Bounty Programme, und sie würden ohnehin nur gulierung. Staaten ohne Veröffentlichungsprozess wer-
dann ihr Verhalten ändern und Schwachstellen an Staa- den rücksichtsloser Schwachstellen finden und Exploits
ten mit Meldeprozessen weitergeben, wenn dort ein entwickeln können. Sie werden schneller sein, da sie
Bounty mit höherem Wert angeboten würde oder wenn keine Reviews durchlaufen müssen, da sie auch einfach
sie vom Verhalten der Softwareindustrie konkret oder zu findende Schwachstellen nutzen können und da sie
allgemein enttäuscht sind. Dies wird nur für eine ge- eine breitere Palette an Talenten nutzen können. Sie
ringe Zahl eher weniger relevanter Schwachstellen gel- werden voraussichtlich auch ein beliebterer Kunde im
ten. Exploit-Graumarkt sein.
Ebenfalls ihr Verhalten kaum ändern werden andere Als Folge dieser Vorteile in Entwicklung und Beschaf-
Firmen, die routinemäßig Schwachstellen der bei ihnen fung werden sie in ihren militärischen und nachrichten-
laufenden oder von ihnen verbauten Software an die dienstlichen Cyberoperationen taktisch deutlich flexib-
Hersteller melden. Hier bestehen etablierte Prozesse, ler und agiler sein, da sich ihnen mehr Optionen bieten
die von einem staatlichen Meldeprozess voraussichtlich und da eine andere und breitere taktische Kombinatorik
nicht beeinträchtigt werden, zumindest solange die
Seite 11 von 12DSI Industrial & Policy Recommendations (IPR) Series
Empfehlungen zur Organisation der Nutzung von Schwachstellen für staatliche Sicherheitszwecke
genutzt werden kann. Da keine Target Ranges katego- identifiziert werden können, eine hohe eigene Kompe-
risch ausgeschlossen werden dürften, wird auch die tenz in diesem Feld vorausgesetzt.
Auswahl möglicher strategischer Optionen deutlich Offensive staatliche Stellen könnten sich zudem be-
breiter sein und entsprechende Akteure könnten in vie- mühen, zu erkennen, ob die von ihnen genutzten
len Feldern arbeiten, die anderen nicht zugänglich sind. Schwachstellen von Gegnern entdeckt wurden und ge-
Zudem werden über die Zeit nicht nur die Arsenale, nutzt werden. Es könnten schwachstellenspezifische In-
sondern auch die Fähigkeiten der Operateure deutlich dikatoren entwickelt werden, nach denen folgend lau-
besser als jene von Staaten mit einer starken Regulie- fende Angriffe oder sogar potentielle Angriffe
rung von Schwachstellenmeldungen. analysiert werden können. Werden Angriffe identifi-
Da weiter davon auszugehen ist, dass vor allem Staa- ziert, bei denen die eigene genutzte Schwachstelle in-
ten ohne starke Zivilgesellschaft, Demokratie und volviert sein könnte, kann die IT-Industrie entsprechend
Rechtsstaat oder Staaten in härteren Konfliktsituatio- informiert werden.
nen auf einen Veröffentlichungsprozess verzichten und Schließlich können offensiv agierende staatliche Stel-
die asymmetrischen Vorteile eines strengeren Schwach- len für die eigenen Schwachstellen umfangreiche Doku-
stellenregimes in anderen Ländern auch gezielt ausnut- mentationen erstellen und erste Entwicklungen für Pat-
zen werden, kann eine weitere Folge eine asymmetri- ches vornehmen, soweit extern möglich. Bei
sche offensive Ermächtigung autoritärer Staaten sein. Bekanntwerden der Schwachstelle kann dieses Wissen
sofort der IT-Industrie mitgeteilt werden, und es kann
Wie kann der Prozess staatlicher Exploit- beim Patching assistiert werden, um die Phase zwischen
Entwicklung sicherer gestaltet werden? Bekanntwerden einer Schwachstelle und Ausrollen des
Es bestehen eine Reihe von Optionen, um die staatliche Patches deutlich zu verkürzen.
Entwicklung von Hackerangriffen sicherer zu machen Einige weitere Maßnahmen ließen sich entwickeln.
und das Verhältnis von Kritikalität und Wert zu verbes-
sern. Zum einen sollten beide Merkmale bei Einkauf und Abschließende Bemerkungen
Entwicklung oder Customization von Exploits betrach- Die Betrachtungen haben gezeigt, dass eine Veröffent-
tet werden. Zum anderen müssen alle möglichen Ver- lichung staatlich genutzter Schwachstellen vermutlich
fahren für eine sehr hohe OPSEC identifiziert und rigo- nur einen geringen Effekt auf die Erhöhung der techni-
ros umgesetzt werden. schen IT-Sicherheit haben dürften, während auf der an-
Schließlich bleibt eine Reihe weiterer Optionen, die deren Seite der Wert für die Arbeit der Sicherheitsbe-
Risiken für die Allgemeinheit minimieren. hörden in vielen Fällen aufgrund der hohen taktischen
Etwa können die offensiven staatlichen Stellen eher Ermächtigung gegen mögliche Gegner als hoch anzuse-
hochwertige und exotische Exploits und Schwachstellen hen ist. Der von verschiedenen Stellen geforderte Ver-
entwickeln und ankaufen. Bei diesen ist es weniger zicht auf die offensive staatliche Nutzung von Schwach-
wahrscheinlich, dass sie von Kriminellen oder anderen, stellen scheint daher unsinnig, der
weniger talentierten Gegnern entdeckt werden, so dass Gesamtsicherheitseffekt wäre negativ.
auch das Risiko der Folgen eines Nicht-Meldens direkt Dennoch können Prozesse eingeführt werden, die
proportional sinkt. In dieser Richtung kann eine umfas- eine präzisere Abwägung und einen gegenüber mögli-
sendere Methodologie entwickelt werden, da sich hoch- chen Kollateral- oder Dual Use-Schäden informierten
wertige und exotische Exploits glücklicherweise als Ka- und vorsichtigen Umgang mit offensiv genutzten
tegorien noch gut erfassen lassen und da entsprechende Schwachstellen ermöglichen. So kann auch eine bessere
Fähigkeiten bei Entwicklern und bei Verkäufern gut Verantwortlichkeit in den Prozessen verankert werden.
Die DSI Industrial & Policy Recommendations (IPR) Series wird herausgegeben vom Digital Society Institute der ESMT
Berlin, http://dsi.esmt.org.
© 2017 ESMT European School of Management and Technology GmbH.
Diese Veröffentlichung darf frei verbreitet werden zu den Bedingungen der CreativeCommons Lizenz Attribution-
NonCommercial-NoDerivatives 4.0 International. https://creativecommons.org/licenses/by-nc-nd/4.0/
Seite 12 von 12You can also read
