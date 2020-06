Inneres und Heimat/Antwort - 11.06.2020 (hib 602/2020)

Berlin: (hib/STO) Um Sicherheitslücken in komplexen IT-Systemen geht es in der Antwort der Bundesregierung (19/19753) auf eine Kleine Anfrage der FDP-Fraktion (19/18799). Darin führte die Fraktion aus, dass bei solchen Sicherheitslücken sogenannte "Zero-Day"-Schwachstellen besonders gefährlich seien, "also Fehler, die insbesondere dem Hersteller des betroffenen Systems noch nicht bekannt sind und für die daher keine Abhilfe oder Eindämmung zur Verfügung steht". Zugleich thematisierte sie Fragen der "Abwägung zwischen dem Interesse des Staates beziehungsweise der Allgemeinheit an der Nutzung von Schwachstellen in Hardware, Software oder bei Online-Diensten zum Zweck der Strafverfolgung, der Gefahrenabwehr, der nachrichtendienstlichen Aufklärung oder militärischer Operationen" mit grundrechtlichen und wirtschaftlichen Belangen sowie mit Aspekten der IT-Sicherheit".

Wie die Bundesregierung in ihrer Antwort schreibt, setzt sie sich derzeit inhaltlich mit dieser Thematik auseinander. "Da die Meinungsbildung innerhalb der Bundesregierung hierzu nicht abgeschlossen ist, kann zur Frage des möglichen Umgangs mit Zero-Day-Schwachstellen lediglich im Rahmen aktuell geltender Regelungen eine Aussage getroffen werden", heißt es in der Antwort weiter.

Danach wurden bisher für den Umgang mit Schwachstellen bereits Prozesse bezüglich der Meldung innerhalb der Bundesverwaltung an das Bundesamt für Sicherheit in der Informationstechnik (BSI) und durch das BSI etabliert. Demnach "müssen grundsätzlich alle Bundesbehörden Informationen im Zusammenhang mit neu festgestellten Schwachstellen, die für die Erfüllung von Aufgaben oder die Sicherheit der Informationstechnik anderer Behörden von Bedeutung sind, an das BSI melden".

Gefundene Schwachstellen werden den Angaben zufolge über das BSI dem betroffenen Hersteller gemeldet, damit dieser die Möglichkeit erhält, die Schwachstelle zu schließen. Das Verfahren ziele darauf ab, den durch eine mögliche Ausnutzung von Schwachstellen resultierenden Schaden zu minimieren, "da zum einen durch die koordinierte Beteiligung betroffener Hersteller eine Bereitstellung von funktionierenden Sicherheitsupdates ermöglicht wird und zum anderen das temporäre Zurückhalten von Schwachstellen- und Angriffsdetails die Ausnutzung zunächst erschwert und damit das Schadenspotential reduziert werden kann".