Andy
Tagträumer
Teammitglied
- Registriert
- Mai 2003
- Beiträge
- 7.809
- Mittwoch um 11:35
- #1
Sicherheitslücken sollen direkt geschlossen werden, sagte die BSI-Präsidentin Claudia Plattner im Interview mit Heise Security. Damit positioniert sich die Behörde im Gesetz zum Bundesinnenministerium, das beim Umgang mit Schwachstellen abwägen will.
Zur News: Umgang mit Schwachstellen: BSI will Sicherheitslücken sofort schließen lassen
violentviper
Lt. Commander
- Registriert
- Mai 2008
- Beiträge
- 1.667
- Mittwoch um 11:48
- #2
Ich will auch viel.
Z
Zer0DEV
Commander
- Registriert
- Dez. 2006
- Beiträge
- 2.139
- Mittwoch um 11:48
- #3
Das BSI beschreibt sie in diesem Kontext auch als Ansprechpartner für Sicherheitsforscher, die eine Schwachstelle entdeckt haben, bei dem jeweiligen Dienst aber nicht weiterkommen. Das BSI würde sich in solchen Fällen darum kümmern.
Das ist dann aber nicht das selbe BSI, welches mit der nachstehenden Aussage, im Kontext der BundID und OpenRathaus, am 19.06.2024 um die Ecke geboben gekommen ist:
Eine in der vergangene Woche schon einmal einschlägig auffällige Angreiferin hat ein weiteres Mal ...
Mit "einschlägig auffällige Angreiferin" ist Frau Wittmann gemeint.
Das BSI hat also nicht Sicherheitsforscherin, sondern Angreiferin geschrieben!!
Im weiteren stellt sich Frau Plattner das augenscheinlich zu einfach vor...
Wem will Sie den die Lücken melden, dass die "sofort" geschlossen werden.
Sofort heißt im Rechtssprech grundsätzlich jetzt bzw. unvermittelt.
Microsoft, Cisco, Ivanti, SAP, sofortiges Lücken schließen???
Nach der Logik müssten die jeden Tag Patches liefern.
der Unzensierte
Vice Admiral
- Registriert
- Juni 2009
- Beiträge
- 6.862
- Mittwoch um 11:51
- #4
"Sicherheitsbehörden, die offene Sicherheitslücken benötigen"
Mja, weil ja solche Sicherheitslücken auch nur unseren Sicherheitsorganen bekannt sind. Das Denken auch nur von Wand bis Tapete ist für die eine echte Herausforderung. Immer wieder.
Robo32
Fleet Admiral
- Registriert
- Sep. 2006
- Beiträge
- 23.030
- Mittwoch um 11:53
- #5
Diagnose - dissoziative Identitätsstörung.
Einerseits hätte man gerne absolute Sicherheit, anderseits sind aber Sicherheitslücken gerne gesehen wenn diese für eigene Zwecke genutzt werden können.
Dieses "Problem" gibt es aber wahrscheinlich überall.
Davon abgesehen wäre ich auch sehr vorsichtig irgendeine Lücke zu melden - im Klartext, ich würde es tunlichst unterlassen.
D
Damien White
Fleet Admiral
- Registriert
- Feb. 2009
- Beiträge
- 10.611
- Mittwoch um 12:00
- #6
Robo32 schrieb:
Diagnose - dissoziative Identitätsstörung.
Einerseits hätte man gerne absolute Sicherheit, anderseits sind aber Sicherheitslücken gerne gesehen wenn diese für eigene Zwecke genutzt werden können.
Du hast entweder den Text nicht gelesen oder verstanden.
Die, die Sicherheit wollen und die, die Sicherheitslücken verwenden möchten sind grundsätzlich verschiedene Personen und Einrichtungen.
M
MasterWinne
Commander
- Registriert
- Mai 2004
- Beiträge
- 2.340
- Mittwoch um 12:04
- #7
Das Problem ist ja bereits, das man wie leider längst üblich, nur zum Eigenutz handelt.
Sprich hier: Sicherheitslücken die "andere" ausnutzen könnten sofort ausmerzen, jene die einem selbst dienen, perse belassen / oder gezielt durch Erpressung erst einbauen lassen (Staatstrojanbackdoor).
Allein sich das "Recht" zu nehmen, illegales für eigene Zwecke zu legalisierien untergräbt jegliche Glaubwürdigkeit.
tomgit
Captain
- Registriert
- Nov. 2015
- Beiträge
- 4.070
- Mittwoch um 12:42
- #8
Security Fixes veröffentlichen ist ja auch nur eine Seite der Medaille. Wenn diese nicht konsequent ausgerollt werden - oder ausgerollt werden müssen - , bringen diese Patches aber auch nichts.
Ganjaware
Lt. Commander
- Registriert
- Feb. 2012
- Beiträge
- 1.167
- Mittwoch um 13:01
- #9
Schöne Worte sollen das Volk milde stimmen.
Y
Yar
Lieutenant
- Registriert
- März 2005
- Beiträge
- 650
- Mittwoch um 13:46
- #10
„Andere Institutionen haben unter Umständen andere Zielsetzungen…“
Da musste schon echt laut lachen! 😂
Grimba
Captain
- Registriert
- Dez. 2007
- Beiträge
- 3.979
- Mittwoch um 13:49
- #11
Damit positioniert sich die Behörde im Gesetz zum Bundesinnenministerium, das beim Umgang mit Schwachstellen abwägen will.
Der Satz kommt mir etwas komisch vor. Ist hier nicht "Gegensatz" gemeint?
Whitehorse1979
Lieutenant
- Registriert
- Feb. 2023
- Beiträge
- 546
- Mittwoch um 16:22
- #12
Naja entscheidend ist wohl wer mehr Macht in diesem Spiel hat. Ich gehe davon aus, dass das Innenministerium davon am meisten durchsetzen kann. Das BSI steht dabei klar hinter dem BND an, der auch das Innenministerium unterrichtet. Die werden diese Sicherheitslücken brauchen um an Informationen zu gelangen. Und ich schätze die haben Priorität insbesondere durch die Gefährdung durch Russland. Alles andere ist Augenwischerei. Da kann das BSI noch so viel wollen.
Zuletzt bearbeitet:
Muntermacher
Lieutenant
- Registriert
- Sep. 2022
- Beiträge
- 914
- Mittwoch um 18:00
- #13
MasterWinne schrieb:
Das Problem ist ja bereits, das man wie leider längst üblich, nur zum Eigenutz handelt.
Sprich hier: Sicherheitslücken die "andere" ausnutzen könnten sofort ausmerzen, jene die einem selbst dienen, perse belassen / oder gezielt durch Erpressung erst einbauen lassen (Staatstrojanbackdoor).
Allein sich das "Recht" zu nehmen, illegales für eigene Zwecke zu legalisierien untergräbt jegliche Glaubwürdigkeit.
Mal als Laie gefragt, wie unterscheiden sich Lücken, die andere nutzen können von denen, die einem selbst dienen? Ich dachte immer Lücke sei Lücke und unterscheidet nicht zwischen den Ausnutzern der Lücke.
Zuletzt bearbeitet:
Grimba
Captain
- Registriert
- Dez. 2007
- Beiträge
- 3.979
- Mittwoch um 18:19
- #14
@Muntermacher: In dem Wissen darum.
R
ReactivateMe347
Lt. Commander
- Registriert
- Dez. 2018
- Beiträge
- 1.073
- Mittwoch um 18:45
- #15
Interessant, zumal doch gemunkelt wurde, dass genau diese Einstellung Arne Schönbohm zum Verhängnis wurde, so das Faeser ihn unter Verwand längst bekannter, allenfalls mäßig kritischer Russland-Verbindungen, von seinem Posten treten konnte ...
Ergänzung ()
Muntermacher schrieb:
Mal als Laie gefragt, wie unterscheiden sich Lücken, dirme andere nutzen können von denen, die einem selbst dienen? Ich dachte immer Lücke sei Lücke und unterscheidet nicht zwischen den Ausnutzern der Lücke.
Genau das ist das Problem. Es gibt keinen Unterschied. Was das in der Praxis bedeutet, hat man bei EternalBlue/WannaCry gesehen: Eine Gruppe namens "Shadow Brokers" hat Epxloits der NSA "gefunden" und veröffentlicht. Hätte die NSA die nicht als Werkzeug genutzt, sondern an Microsoft gemeldet, dann hätte es WannaCry in der Form nicht gegeben.
Ergänzung ()
tomgit schrieb:
Security Fixes veröffentlichen ist ja auch nur eine Seite der Medaille. Wenn diese nicht konsequent ausgerollt werden - oder ausgerollt werden müssen - , bringen diese Patches aber auch nichts.
Im Prinzip muss man die schon ausrollen, weil man das Versäumnis sonst ggf. teuer bezahlt. (Incident Response, Neuaufbau ganzer Netzwerke, DSGVO-Bußgelder ...)
Zuletzt bearbeitet:
M
MasterWinne
Commander
- Registriert
- Mai 2004
- Beiträge
- 2.340
- Mittwoch um 19:33
- #16
Muntermacher schrieb:
Mal als Laie gefragt, wie unterscheiden sich Lücken, dirme andere nutzen können von denen, die einem selbst dienen? Ich dachte immer Lücke sei Lücke und unterscheidet nicht zwischen den Ausnutzern der Lücke.
Das ist "eigendlich" auch so, nur heut zu Tage unter all den ideologistischen Egoisten unterscheidet man, je nachdem wie es zum eigenem Vorteil passt.
Da ist es eben so, dass zB ein Verbrechen "gut" ist und man weg schaut, dieses fördert oder es für sich selbst gar legalisiert, andere aber für das selbe jagt und verurteilt, wenn es einem selbst nichts nützt oder schadet.
Blutschlumpf
Fleet Admiral
- Registriert
- März 2001
- Beiträge
- 20.197
- Mittwoch um 22:39
- #17
Ich verstehe die News nicht.
Wen interessiert es was die wollen?
Im Grunde hat doch keine deutsche Behörde oder Institution in den Bereich nennenswerten Einfluss.
Ob für eine Lücke ein Patch kommt bestimmt der Hersteller des Produktes, der ist nur selten deutsch.
Ob eine Lücke an den Hersteller gemeldet wird, liegt ebenfalls fast durchweg außerhalb des Einflussbereiches von BSI und co.
Muntermacher
Lieutenant
- Registriert
- Sep. 2022
- Beiträge
- 914
- Donnerstag um 07:39
- #18
Grimba schrieb:
@Muntermacher: In dem Wissen darum.
Also genauso wie ein Messerstich in die linkr Niere von einem in die rechte Niere sich unterscheidet. Oder Zensur (im Einzelfall) in westlichen Ländern von östlichen.
Meine Frage war übrigens ironisch gemeint.
Grimba
Captain
- Registriert
- Dez. 2007
- Beiträge
- 3.979
- Donnerstag um 08:03
- #19
Was dieser Vergleich jetzt soll erschließt sich mir nicht. Ist auch beides nicht besonders originell. Meine Antwort war jedenfalls ernst gemeint. Natürlich kann eine Lücke potenziell jeder ausnutzen. Du kannst aber nichts ausnutzen, von dem du nichts weißt. Wissensvorsprung ist also genau der Unterschied, nach dem du fragst. Ganz gleich, ob du das ironisch gemeint hast. Auf deine Frage gibt es nunmal eine einfache Antwort und sie spielt ja auch im Artikel eine Rolle.
Deine Ironie ist aber insofern berechtigt, als dass man aus diesem Grund keine für Ermittlungsbehörden exklusive Lücken bewusst schaffen kann. Auch hier bestünde die Exklusivität nur im Wissen darum, und das wäre eine sehr flüchtige Angelegenheit. Aber das ist hier nicht das Thema.
Zuletzt bearbeitet:
Redundanz
Lt. Commander
- Registriert
- Jan. 2014
- Beiträge
- 1.207
- Donnerstag um 13:47
- #20
bin da komplett auf plattners seite.
und was den staatstrojaner angeht. quellen-tkü stützt sich bestimmt nicht in der hauptsache auf irgendwelche random vulnerabilities...
das ist (im erfolgsfall) eher ein customized payload, der dann "im prinzip" wie ein sub7 server agiert.
klar werden bei schwer zugänglichen systemen auch mal sicherheitslücken "in the wild" ausgenutzt.
es ist ja auch ein zweigeteiltes spielchen... erst braucht man irgendwie zugang (lücke oder physikalischer zugriff), um dann im anschluss eine einnistung vorzunehmen - bestenfalls.
alternativ: zielperson wird klandestin zur "selbst-infektion" verleitet.
Du musst dich einloggen oder registrieren, um hier zu antworten.
