Die Zeit (lokale Kopie) dokumentieren in einem sehr lesenswerten Artikel die aktuelle Debatte über den Umgang mit Sicherheitslücken durch Sicherheitsorgane. Dies betrifft insbesondere den Aspekt ob und ggf. wann Einrichtungen Sicherheitslücken für den „Eigenbedarf“ kaufen können sollen oder ob es nicht allgemein besser wäre diese direkt an den Hersteller zu melden.
Im wesentlichen gibt es in der deutschen Politik aktuell dazu die folgenden Standpunkte:
Das Außenministerium möchte gerne ZeroDay Exploits ächten, auch weil seine Experten 2015 bei der UN zu dem Schluss gekommen sind, dass es besser für die internationale Sicherheit wäre. Die Sicherheitsbehörden möchten Sicherheitlücken gerne selbst nutzen, u.a. die Bundeswehr. Die Bundesregierung bezieht keine Position. Es wird vorgeschlagen, Zero Days nicht pauschal zu melden sondern zu bewerten nach ihrer Gefährlichkeit und Einsatzmöglichkeit durch ZITiS, wie es bereits in den USA durch die NSA praktiziert wird.
Besten Dank an Thea Riebe von IANUS für die Zusammenfassung.
Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.