ⓐ Das Dementi der CDU, Lilith nur versehentlich angezeigt zu haben ist völlig unglaubwürdig. So eine Anzeige macht man ja nicht mal schnell nebenbei sondern das war wohlüberlegt und vermutlich durch Juristen gegengecheckt.
ⓑ Nach dieser Aktion wird niemandjemals wieder eine Sicherheitslücke an die CDU melden. Das Risiko verklagt zu werden ist einfach zu groß. D.h. die CDU wird von Sicherheitsproblemen in ihren IT-Systemen erst erfahren, nachdem diese von Gegener ausgenutzt wurden – wenn überhaupt.
Ihr erwähnt, die CDU halte nichts von responsible disclosure. Mich würde interessieren, was sie dann für einen Umgang für richtig halten wenn jemand eine Schwachstelle findet? Wenn ich nach „CDU responsible disclosure“ suche, finde ich nur den aktuellen Fall. Habt ihr - oder jemand anderes - da eine Antwort? Liebe Grüße Timm
Ich vermute sie würden gerne gar keine Disclosure haben (was ja bedeutet dass die Schwachstelle der Öffentlichkeit bekannt gemacht wird), sondern nur dass die SicherheitsforscherInnen es an die CxU melden und im besten Falll dann sogar helfen die Fehler zu beheben.
Ist schon älter aber da wird das Problem ganz gut erklärt
Der CCC bzw. auch Frau Wittmann zeigen regelmäßig Sicherheitslücken auf. Das ist ein ganz normaler Prozess. Die einzigen die hier überreagieren ist die CxU.
Eigentlich zeigt doch diese Reaktion wie rückständig diese Partei ist. Da ist dann auch die Wirtschaftskompetenz fraglich ehrlich gesagt, da die IT nun mal ein großer Wirtschaftsbereich ist mit enormen Wachstum. Ich wüsste ehrlich gesagt gerne, wie viele Daten ohne Erlaubnis der Bürger vorab in dieser App erfasst wurden und wie viele böse Linke dort markiert wurden, denn so las sich das für mich teilweise auch raus.
Das Traurige ist, dass der Vorgang, den du in b) beschreibst, der cdu nicht besonders schaden dürfte: wenn nie jemand was von sicherheitslücken erfährt, werden Daten aus der Software vonKriminellen abgegriffen, aber es gibt eben auch keine schlechte Presse für denjenigen, der bei seiner Software geschlampt hat.
Danke für den Hinweis, aber ich verstehe ihn nicht ganz. Ich kannte den talk und hab ihn grade noch mal geschaut auf der Suche nach dem Bezug zu meiner Frage, kann ihn aber nicht so richtig entdecken.
@vieuxrenard Ich beziehe mich auf die Stelle, an der Ulf sagt, er habe grade ein Hintergrundgespräch mit dem Innenministerium gehabt „wo völlig klar war, dass sie gar nichts halten von responsible disclosure“.
(LND250 ab 1:44:52 LdN250 Klimakrisen-Wahlkampf, Versagen der Warnsysteme, Impfpflicht, Impfungen für Jugendliche, Vormarsch der Taliban, CDU vs Wittmann – Lage der Nation )
Dazu ist meine Frage: was ist denn der Ansicht des Innenministeriums (oder der CDU) nach der richtige / bessere Umgang mit gefundenen Sicherheitslücken? Ich verstehe das wirklich nicht, soll man dann gar nichts sagen? So tun als hätte man nichts gefunden? Sich selbst blitzdingsen und alles vergessen? Ganz ernsthaft, was ist deren Vorschlag?
Viele Grüße Timm
Ich glaube Horst Seehofer will diese Lücken um dort selbst Daten abgreifen zu können. Das der gute Mann am liebsten alle Daten jedes Bürgers ohne jeden Datenschutz hätte ist ja wohl mehr als bekannt.
Es ist der ignorante Umgang mit Sicherheitslücken seitens der Politik/Wahlleiter. Wenn man sich anschaut wer in Hessen regiert kann man da schon auch Schlüsse daraus ziehen.
Seitens des CCC und des BSI gibt es eine Vorgehensweise wie mit Schicherheitslücken umzugehen ist.
Alleine die Politik/Parteien glauben dem nicht gerecht werden zu müssen.
So wie Christian hab ich die Lage auch verstanden.
Begründung gegen die Offenlegung der Schwachstelle auch nachdem diese beseitigt wird, wäre dann wahrscheinlich die Angst, dass die gleiche Schwachstelle in anderen Systemen genauso existiert.
Da dort eventuell noch nicht gefixt, sind diese Systeme nun angreifbar.
Der Angreifer kann sich aus der Liste der bekannten Schwachstellen bedienen und hoffen dass zumindest eine noch besteht.
Aber ich sehe es auch so, dass man es öffentlich macht, damit mögliche Betroffene gegebenenfalls reagieren können, denn es ist definitiv nicht gesagt, dass es durch Betreiber der unsicheren App passiert. Ich bezweifle doch stark, dass die CDU sich an die möglicherweise betroffenen Personen gewandt hätte. So viel Anstand hat da keiner.
Die Hersteller dieser Systeme haben aber eine Sorgfaltspflicht. Das heißt dass sie verpflichtet sind Schwachstellen zu fixen (solange die Systeme aktuell sind).
Da die Hersteller im Zuge des Responsible Disclosure über die Schwachstelle informiert werden müssen sie die Schwachstelle in allen Systemen wo sie diese „Technik“ verwendet haben schließen.
Ich meinte Systeme von anderen Herstellern/Firmen.
Also als Beispiel:
Forscher findet Sicherheitslücke bei Facebook
Im Rahmen des Responsible Disclosure wird die Sicherheitslücke an Facebook gemeldet
Nach angemessender Zeit dann auch an die Öffentlichkeit
Admin des Lage-Forum merkt jetzt das die gleiche Sicherheitslücke auch hier vorliegt und beseitigt den Fehler so schnell wie möglich
Zwischen 3. und 4. ist das Lage-Forum besonders angreifbar. Potentielle Angreifer müssen ja nur schon von anderen Firmen bekannte Schwachstellen abchecken.
Das Lage-Forum ist natürlich auch schon vorher angreifbar aber die Sicherheitslücke ist zumindest nicht öffentlich bekannt.
Das ist im Übrigen ja auch genauso eins der Argumente die überhaupt dafür sprechen, eine Sicherheitslücke öffentlich zu machen. Sodass andere Firmen checken können, ob die Sicherheitslücke auch in den eigenen Systemen vorliegt.
