Wenns bei Full-Disclosure um Leben und Tod geht Marc Ruef | 28.01.2013 Vor einiger Zeit wurde das Thema Full-Disclosure in den Massenmedien (http://news.sciencemag.org/scienceinsider/2011/11/scientists-brace-for-media-storm.html) diskutiert. Dabei ging es aber nicht um den altbekannten Disput in der Information Security Community. Viel mehr stand zur Diskussion, ob Informationen zu einem neu entwickelten und hochgradig gefährlichen biologischen Virus weitergegeben werden dürfen. Grundsätzlich lässt sich diese Diskussion genau gleich führen, wie sie in der Informationssicherheit schon lange gelebt wird. Nur mit einem grossen Unterschied: Die unkontrollierte Verbreitung des Virus wird mit an Sicherheit grenzender Wahrscheinlichkeit tödliche Folgen haben. Ein Szenario, das der Informationssicherheit zwar auch gern attestiert wird. Doch viele Horrorszenarien im virtuellen Raum sind im Vergleich doch eher hypothetischer Natur (wenigstens die konkreten tödlichen Auswirkungen). Führen wir nun diese beiden Diskussionen zusammen, dürfte sich in den Köpfen so mancher Diskussionspartner ein neues Gefühl manifestieren: Sollen wir Informationen zu Schwachstellen und Exploits zur automatisierten Ausnutzung derer weitergeben, wenn sich damit direkter und unvermeidbarer Schaden für Leib und Leben umsetzen liesse? Im Herzen argumentiere ich noch immer für eine Weitergabe von Forschungsresultaten, denn in mir flammt die Hoffnung, dass der akademische Diskurs die vorerst latente Gefahr bannen kann. Denn Gegenmassnahmen - egal ob nun bei Virus oder Exploit - sind immer möglich. Umso früher sich die Experten mit der Gefahr auseinandersetzen können, desto früher wird sich auch die Möglichkeit eines Schutzes verteilen lassen. Die Qualität unser allen Lebens lässt sich damit schnellstmöglich anheben. Die Frage ist nun, wie lange denn das Zeitfenster für erfolgreiche Angriffe bestehen würde. Das lässt sich vorgängig nur schwer abschätzen. Vielleicht wird nach wenigen Stunden ein Ansatz zum Schutz gefunden. Vielleicht dauert es aber auch 50 Jahre. Eine lange Zeit, in der man exponiert ist und konkrete Schäden in Kauf nehmen müsste. Man könnte quasi vom "schmerzvollen Überwinden" der Schwächen aufgrund einer temporär vorherrschenden Asymmetrie sprechen. Verzichtet man nun aufgrund dieser Bedenken auf die Weitergabe der Forschungsresultate, besteht das Risiko einer "Schattenbedrohung": Böswillige Mächte könnten Entwicklungen vorantreiben, um ebenfalls in den Besitz des gefährlichen - und bis dato geheim gehaltenenen - Werkzeugs zu kommen. Ist dies möglich, wird die Gefahr plötzlich akut und aufgrund der Hemmung der akademischen Analyse ist man plötzlich den konkreten Risiken ohne Chance auf absehbare Gegenmassnahmen ausgesetzt. Spätestens dann müsste eine Verteilung angetrieben werden. Ein Dilemma, in dem die Weitergabe unweigerlich als das kleinere der beiden Übel verbleibt. Doch dann ist es vielleicht schon zu spät. Die bösen Mächte könnten zwischenzeitlich 50 Jahre Vorsprung haben. Ein Effekt, der in der Computersicherheit immerwieder beobachtet wird (populäres Beispiel aus dem gleichen Zeitraum der Diskussion ist die durch FinFisher ausgenutzte Schwachstelle im iTunes-Store (http://krebsonsecurity.com/2011/11/apple-took-3-years-to-fix-finfisher-trojan-hole/)). Und im schlimmsten Fall eine Asymmetrie, die sich vielleicht nicht mehr aufheben lässt. Um diese zu verhindern, ist die frühzeitige Weitergabe der Informationen im Dienste der Wissenschaft unerlässlich.