Britischer Geheimdienst GCHQ hält bewusst Sicherheitslücken zurück

Die Auswahl erfolgt nach vorgegebenen Kriterien. Die Geheimhaltung muss den nationalen Interessen dienen. Der Geheimdienst prüft aber auch mögliche Risiken für Behörden, Bürger und Unternehmen.

Der britische Auslandsgeheimdienst GCHQ hat erstmals bestätigt, dass er unter bestimmten Bedingungen Details zu ungepatchten Sicherheitslücken zurückhalt. Zudem äußerten sich das GCHQ und das National Cyber Security Center (NCSC) zu den Kriterien, nach denen Sicherheitslücken offengelegt oder eben geheim gehalten werden.

Government Communications Headquarters (GCHQ) (Bild: GCHQ)Generell würden neue entdeckte Sicherheitslücken stets an den jeweiligen Hersteller weitergeleitet, betonte der Geheimdienst. Nationale Interessen könnten jedoch dazu führen, dass der Anbieter nicht informiert werde. Die Entscheidung darüber mache man sich nicht leicht. Zuvor komme es immer zu einer „rigorosen Prüfung“ durch Sicherheitsexperten von GCHQ, NCSC und Verteidigungsministerium.

In die Bewertung fließt ein, ob eine Lücke vollständig geschlossen werden kann oder ob eine Offenlegung ein generelles Risiko für die nationale Sicherheit darstellen könnte. Die Experten untersuchen außerdem, ob die Handlungsfähigkeit von Geheimdienstpartnern eingeschränkt wird, falls ein Hersteller die Möglichkeit erhalten würde, eine Sicherheitslücke zu schließen.

Des Weiteren prüfen GCHQ und NCSC, welche Risiken sich für die Regierung, Ministerien und Behörden sowie kritische Infrastrukturen ergeben, falls eine Schwachstelle unter Verschluss bleibt. Es werden aber auch mögliche Gefahren für Unternehmen, Bürger und andere Staaten berücksichtigt.

Die Schwachstellen nutzt das GCHQ nach eigenen Angaben, um Informationen zu sammeln oder Aktivitäten von Kriminellen, Hackern und feindseligen Staaten aufzuhalten, die dem Vereinigten Königreich schaden wollen. Die Bedeutung einer Anfälligkeit für die Erfüllung der Aufgaben des Geheimdiensts ist also ein weiteres entscheidendes Kriterium.

Zu den Fragen, die vor der Geheimhaltung einer Sicherheitslücke geklärt werden, gehören „Wie wahrscheinlich ist es, dass diese Anfälligkeit von jemand anderes entdeckt wird?“ und „Wie wahrscheinlich ist es, dass jemand anderes diese Anfälligkeit ausnutzt?“. Zudem werde der Status zurückgehaltener Schwachstelle regelmäßig neu bewertet.

Laut GCHQ gibt es allerdings auch Zero-Day-Lücken, die nicht unter dieses Verfahren fallen. Unter anderem seien solche Schwachstellen davon ausgeschlossen, die andere Staaten mit Großbritannien geteilt hätten.

Auf ein mögliches Risiko, dass sich aus der Geheimhaltung von Sicherheitslücken ergeben kann, ging der Geheimdienst nicht ein. Experten warnen immer wieder davor, dass auch Geheimdienste gehackt werden können oder Whistleblower absichtlich oder unabsichtlich Details zu ungepatchten Anfälligkeiten preis geben könnten.

Ein Beispiel dafür ist der NSA-Exploit EternalBlue, der auf einer Schwachstelle im Netzwerkprotokoll SMB basiert. Nach Bekanntwerden des Exploits wurde die Sicherheitslücke vor allem für die Verbreitung der Ransomware WannyCry und NotPetya benutzt.

ANZEIGE

Ihre letzte Verteidigungslinie gegen Ransomware

Was mehrstufige Speicherlösungen im Kampf gegen Ransomware im Detail bringen, erklärt dieses Whitepaper von Quantum. Jetzt kostenlos herunterladen!

Themenseiten: GCHQ, Security, Sicherheit, Zero-Day

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Britischer Geheimdienst GCHQ hält bewusst Sicherheitslücken zurück

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *