Im Rahmen des Transatlantischen Cyberforums (TCF), dem ich angehöre, wurde in den vergangenen knapp zwei Jahren neben anderen Themen auch intensiv über die Frage debattiert, wie und in welcher Form mit der Anforderung staatlicher Behörden umgegangen werden kann, die Sicherheitslücken für die Erfüllung ihrer Aufgaben einfordern. Dieser Anspruch wirft die unterschiedlichsten Fragen auf, von der Prüfung der Ansprüche durch ein unabhängiges Gremium, der parlamentarischen Kontrolle der Behörden-Aktivitäten und der regelmäßigen Evaluierung der Ausgangsgrundlagen, verbunden mit der Entscheidung zur Veröffentlichung der Sicherheitslücke zusammenhängen. In den USA wird dieser Prozeß unter dem Begriff des Vulnerability Equity Process (VEP) seit einigen Jahren geführt und Ende 2017 ein Bericht über den staatlichen Umgang mit Sicherheitslücken veröffentlicht. In gleichem Maße haben die Erfahrungen mit WannaCry und NotPetya, die beide auf einer, aus dem „Giftschrank der NSA“ entwendeten Schwachstelle beruhen gezeigt, welches Gefährdungspotential im Geheimhaltung von Sicherheitslücken stecken kann.
Gestern wurde durch die Stiftung Neue Verantworung, unter deren Dach und Regie das TCF aktiv ist, die Ergebnisse der Arbeiten und Diskussionen als Arbeitspapier veröffentlicht, auf das hiermit hingewiesen sein soll, insbesondere da mit Blick auf den Aufbau offensiver Cyberfähigkeiten oder Möglichkeiten der „aktiven Verteidigung“ auch von militärischer Seite auf absehbare Zeit ein entsprechender Bedarf formuliert werden dürfte:
„Schwachstellen-Management für mehr Sicherheit: Wie der Staat den Umgang mit Zero-Day-Schwachstellen regeln sollte“ (lokale Kopie)