Trotz klarer gesetzlicher Vorgaben, Sicherheitslücken unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden, halten sich Sicherheitsbehörden nicht an ihre Meldepflicht. Nur die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis) hat bisher die Existenz von Sicherheitslücken gemeldet. Das zeigt eine Recherche unseres Dossiers Digitalwende (hier testen).
Warum das wichtig ist: Sicherheitslücken in Software sind nicht nur Einfallstore für staatliche Überwachungsaktionen, sondern bergen auch erhebliche Risiken. Jede nicht gemeldete Schwachstelle kann auch von Kriminellen genutzt werden. Die gesetzliche Meldepflicht soll eigentlich eine schnelle Schließung der Lücken ermöglichen und so die IT-Sicherheit stärken.
Nicht-Meldung – wortwörtlich: Konkret sind Bundesbehörden gesetzlich dazu verpflichtet, neu gefundene Schwachstellen unverzüglich an das BSI zu melden. Ausnahmen gelten zwar für Polizei und Nachrichtendienste, aber auch diese müssen (außer der Bundesnachrichtendienst) dem BSI halbjährlich mitteilen, wie oft sie von der Ausnahme Gebrauch gemacht haben, ohne zu nennen, um welche Schwachstelle es sich konkret handelt – man spricht hier von einer Nicht-Meldung. Auf Anfrage antwortete das BSI, dass es seit Einführung des Gesetzes im Jahr 2010 insgesamt lediglich sechs Nicht-Meldungen gab.
Offene Fragen: Die sind nach Informationen von SZ Dossier allesamt von der Zitis. Die Frage, ob Sicherheitsbehörden wie das Bundeskriminalamt, der Verfassungsschutz oder der Militärische Abschirmdienst (MAD) ebenfalls über ungemeldete Schwachstellen verfügen, bleibt offen. Dem BSI gemeldet haben sie aber – trotz Gesetz – keine. Denkbar wäre, dass sie keine Schwachstellen kennen und nutzen, sich dabei auf externe Anbieter wie Pegasus verlassen oder sie aber kennen und bewusst nutzen, ohne sie dem BSI zu melden. „All of the above“, sagen diejenigen, die sich damit auskennen.