Ursache vieler Vorfälle der IT-Sicherheit sowie technischer Pannen im Datenschutz sind IT-Sicherheitslücken: Fehler in Software, Hardware oder informationstechnischen Prozessen, durch die Angreifer in technische Systeme eindringen können. IT-Sicherheitslücken können vielfältige Ursachen haben, die von Fehlern im Design bis hin zu Softwarefehlern in der Implementierung reichen.
Fehler im Design betreffen beispielsweise die Nutzung schwacher kryptografischer Verfahren. So setzten etwa in der Vergangenheit manche Hersteller auf schwache statt bekannte und genormte Chiffren. Häufig fehlen Schutzmechanismen auch gänzlich, wenn während des Systemdesigns eine Bedrohung übersehen wurde.
Die meisten IT-Sicherheitsvorfälle entstehen jedoch durch Fehler in der Implementierung von Software. Schätzungen gehen davon aus, dass pro 1.000 Codezeilen ein Programmfehler vorhanden ist, bei schlechter Softwarequalität können auch deutlich mehr Fehler vorkommen. Manche Softwarefehler können gezielt durch Angreifer dazu genutzt werden, Schadsoftware wie Viren oder Trojaner einzuschleusen, die den betroffenen Rechner „fernsteuern“, Daten ausleiten oder den Zugriff auf Daten ganz unterbinden (etwa im Fall von Verschlüsselungstrojanern, die alle Daten eines Rechners verschlüsseln und nur nach Zahlung eines Lösegeldes wieder einen Zugriff erlauben). Nach einem Bericht des Bundesamts für die Sicherheit in der Informationstechnik [1] wurden 2023 pro Monat im Schnitt 2 000 Schwachstellen in Software bekannt.
Die bekannteste Klasse von Softwarefehlern ist der Pufferüberlauf (Buffer Overflow), bei dem ein Angreifer in ein System Daten einbringt, die länger als erwartet sind. Dadurch werden ungewollt Speicherbereiche im Rechner überschrieben. Falls die eingebrachten Daten Code enthalten, der später zur Ausführung gelangt, kann ein Angreifer beliebigen Code in ein System einschleusen [2].
Fehler in Software, die die Funktionalität nicht merklich beeinträchtigen, können lange unentdeckt bleiben, bevor sie öffentlich bekannt werden. Fehler, die erst durch ihre Nutzung in einem Angriff bekannt werden, nennt man Zero Days.
Im Umgang mit sicherheitsrelevanten Fehlern hat sich der Ansatz der Responsible Disclosure als praktikabel erwiesen: Wird ein solcher Fehler entdeckt, wird der Hersteller unmittelbar kontaktiert, um ihm die Möglichkeit zu geben, den Fehler zu beseitigen, bevor er von Angreifern ausgenutzt wird. Nach einer angemessenen Frist (idealerweise sollte zu diesem Zeitpunkt der Fehler vom Hersteller bereits geschlossen sein) wird der Fehler öffentlich gemacht. Dies erlaubt eine Abwägung der Interessen der Hersteller, die Schwachstelle zu schließen, und der Öffentlichkeit, die Fehler in der eigenen Infrastruktur frühzeitig zu erkennen und entsprechende Gegenmaßnahmen einzuleiten. Zudem zwingt „Responsible Disclosure“ die Hersteller zeitnah zu handeln und damit das Sicherheitsniveau zu erhöhen. Große Hersteller betreiben oftmals eigene Bug-Bounty-Programme, mit denen Hinweise auf bisher unbekannte Fehler in der eigenen Software finanziell honoriert werden.
Vergleichbarkeit mit analogen Phänomenen
IT-Sicherheitslücken sind ein inhärent digitales Phänomen, die in der analogen Welt kaum eine Entsprechung haben. Schwachstellen können am ehesten mit Fehlern in Produkten verglichen werden, die erst nach Verkauf des Produkts bekannt werden.
Während gravierende Produktfehler in der analogen Welt vergleichsweise selten auftreten, ist davon auszugehen, dass Sicherheitslücken in allen Softwareprodukten vorhanden sind und über Jahre hinweg unerkannt bleiben. Die ubiquitäre Verfügbarkeit kommerzieller Standardsoftware führt dazu, dass Angreifer diese einfach analysieren und gefundene Schwachstellen ausnutzen können. Geeignete Prozesse zur Identifikation und zur Beseitigung von Sicherheitslücken müssen daher von jedem Hersteller und kommerziellem Anwender eingeführt werden.
Gesellschaftliche Relevanz
Viele IT-Sicherheitsangriffe sowie Datenlecks sind auf IT-Sicherheitslücken zurückzuführen. Die Fähigkeit, Softwarefehler durch entsprechende Updates zu beseitigen, ist daher bei allen digitalen Produkten essenziell. Weitgehend ungeklärt ist, welche Updatefähigkeit ein Produkt bereitstellen muss, ob Updates auch gegen den Willen der Nutzenden installiert werden können und wie verfahren werden soll, wenn der Hersteller keine Updates mehr bereitstellt[3].
Gesellschaftlich relevant ist außerdem der Umgang mit Sicherheitslücken. Strafverfolger sowie staatliche Dienste nutzen diese, um in IT-Systeme einzudringen und damit etwa die Überwachung von Endgeräten von Verdächtigen zu ermöglichen (Staatstrojaner). Dafür sind jedoch Sicherheitslücken nötig, die eine lange Zeit vor der Allgemeinheit verborgen bleiben, um eine entwickelte Überwachungssoftware möglichst lange nutzen zu können. Dieses Vorgehen steht im Widerspruch zu Responsible Disclosure und zu dem Anspruch, IT-Systeme bestmöglich abzusichern, da trotz Geheimhaltung die genutzten Sicherheitslücken auch unabhängig von Dritten gefunden und für Angriffe verwendet werden können. Eine Geheimhaltung von Sicherheitslücken führt daher in der Regel zu einer Schwächung des Sicherheitsniveaus.
Quellen
- BSI (2023). Lage der IT-Sicherheit in Deutschland.
- Erickson, J. (2004). Forbidden Code. Bonn.
- Brenner, R. et al. (2024). Eine rechtliche Begriffsbildung von Updatefähigkeit als Konstruktionsanforderung. In: Recht Digital, 252–264.
