Britischer Geheimdienst GCHQ hält bewusst Sicherheitslücken zurück

Der britische Auslandsgeheimdienst GCHQ hat erstmals bestätigt, dass er unter bestimmten Bedingungen Details zu ungepatchten Sicherheitslücken zurückhalt. Zudem äußerten sich das GCHQ und das National Cyber Security Center (NCSC) zu den Kriterien, nach denen Sicherheitslücken offengelegt oder eben geheim gehalten werden.

Generell würden neue entdeckte Sicherheitslücken stets an den jeweiligen Hersteller weitergeleitet, betonte der Geheimdienst. Nationale Interessen könnten jedoch dazu führen, dass der Anbieter nicht informiert werde. Die Entscheidung darüber mache man sich nicht leicht. Zuvor komme es immer zu einer „rigorosen Prüfung“ durch Sicherheitsexperten von GCHQ, NCSC und Verteidigungsministerium.

In die Bewertung fließt ein, ob eine Lücke vollständig geschlossen werden kann oder ob eine Offenlegung ein generelles Risiko für die nationale Sicherheit darstellen könnte. Die Experten untersuchen außerdem, ob die Handlungsfähigkeit von Geheimdienstpartnern eingeschränkt wird, falls ein Hersteller die Möglichkeit erhalten würde, eine Sicherheitslücke zu schließen.

Des Weiteren prüfen GCHQ und NCSC, welche Risiken sich für die Regierung, Ministerien und Behörden sowie kritische Infrastrukturen ergeben, falls eine Schwachstelle unter Verschluss bleibt. Es werden aber auch mögliche Gefahren für Unternehmen, Bürger und andere Staaten berücksichtigt.

Die Schwachstellen nutzt das GCHQ nach eigenen Angaben, um Informationen zu sammeln oder Aktivitäten von Kriminellen, Hackern und feindseligen Staaten aufzuhalten, die dem Vereinigten Königreich schaden wollen. Die Bedeutung einer Anfälligkeit für die Erfüllung der Aufgaben des Geheimdiensts ist also ein weiteres entscheidendes Kriterium.

Zu den Fragen, die vor der Geheimhaltung einer Sicherheitslücke geklärt werden, gehören „Wie wahrscheinlich ist es, dass diese Anfälligkeit von jemand anderes entdeckt wird?“ und „Wie wahrscheinlich ist es, dass jemand anderes diese Anfälligkeit ausnutzt?“. Zudem werde der Status zurückgehaltener Schwachstelle regelmäßig neu bewertet.

Laut GCHQ gibt es allerdings auch Zero-Day-Lücken, die nicht unter dieses Verfahren fallen. Unter anderem seien solche Schwachstellen davon ausgeschlossen, die andere Staaten mit Großbritannien geteilt hätten.

Auf ein mögliches Risiko, dass sich aus der Geheimhaltung von Sicherheitslücken ergeben kann, ging der Geheimdienst nicht ein. Experten warnen immer wieder davor, dass auch Geheimdienste gehackt werden können oder Whistleblower absichtlich oder unabsichtlich Details zu ungepatchten Anfälligkeiten preis geben könnten.

Ein Beispiel dafür ist der NSA-Exploit EternalBlue, der auf einer Schwachstelle im Netzwerkprotokoll SMB basiert. Nach Bekanntwerden des Exploits wurde die Sicherheitslücke vor allem für die Verbreitung der Ransomware WannyCry und NotPetya benutzt.