Gemeinsam gegen kommerzielle Cyber-Angriffsfähigkeiten
Internationale Zusammenarbeit, koordiniertes Reporting und Kapazitätsaufbau sind entscheidend für die Verbesserung der Abwehrmaßnahmen im Bereich der Cybersicherheit. Der so genannte Pall Mall-Prozess soll diesbezügliche Zusammenarbeit konkret fördern.
Save to Folio
Der so genannte Pall Mall-Prozess wurde im Februar 2024 von Großbritannien und Frankreich ins Leben gerufen mit dem Ziel, „die Verbreitung und den verantwortungslosen Einsatz kommerzieller Cyber-Angriffsfähigkeiten zu bekämpfen“ und politische Optionen und Praktiken zu entwickeln, um der gemeinsamen Bedrohung durch die Verbreitung dieser Cyber-Intrusionstools und -dienste zu begegnen. Ein Dialog zwischen mehreren Interessengruppen über die Verbreitung kommerzieller Commercial Cyber-Intrusion Capabilities (CCICs) folgte auf andere Gruppeninitiativen wie den CyberTech Accord und den Paris Call for Trust and Security in Cyberspace.
Am 3. und 4. April 2025 veranstalteten Großbritannien und Frankreich in Paris die zweite Konferenz des Pall Mall-Prozesses. Aufbauend auf der Konferenz 2024 in London wurde ein Code of Practice für Staaten vereinbart. Der Kodex enthält einen unverbindlichen Katalog von Leitlinien zu internationalen Maßnahmen zur Verringerung der gemeinsamen Bedrohung auf der Grundlage der vier Leitsäulen: Rechenschaftspflicht, Präzision, Übersicht und Transparenz.
Wichtig ist es zu überlegen, wie sich der aktuelle Stand der Bedrohungslandschaft auf die Aktionen, die den Handel mit CCICs am stärksten beeinflussen, auswirkt. Spyware gibt nach wie vor Anlass zur Sorge, und es werden weltweit immer mehr Vorfälle gemeldet. In Kombination mit einer steigenden Zahl entdeckter Schwachstellen und zunehmender Fragmentierung bei deren Veröffentlichung stehen politische Entscheidungsträger vor der Aufgabe, ihren Verpflichtungen Taten folgen zu lassen.
Spyware im Mittelpunkt
Der Fokus des Pall Mall-Prozesses auf Spyware ist verständlich angesichts der Schäden, die diese Malware anrichtet – sowohl für den Einzelnen als auch die nationale Sicherheit. Obwohl die Pegasus-Spyware angeblich unschädlich gemacht wurde, entdeckt man die Malware der NSO Group immer noch in freier Wildbahn. Die Auswirkungen ihrer Nutzung sind nach wie vor spürbar: Ein US-Bezirksgericht machte sie für Verstöße gegen US- und kalifornische Gesetze verantwortlich, als sie WhatsApp-Server ins Visier nahm.
Im Kern macht Spyware die Ausbeutung der Geräte der Zielnutzer und den Diebstahl sensibler Informationen zu Geld. Der New Yorker schätzte den weltweiten Handel mit Spyware im Jahr 2021 auf etwa 12 Milliarden US-Dollar, und seitdem gibt es keine Anzeichen für einen Rückgang.
Bezüglich Schwachstellen übertraf 2024 die Erwartungen mit 40.000 veröffentlichten Schwachstellen und 768 Zero-Days. Es gibt zwar keine Anzeichen dafür, dass KI die Entdeckungs- und Ausbeutungsrate erhöht, aber die Entwicklung geht dahin. Bei Open Source-Software haben Google-Forscher gezeigt, dass LLMs die Messlatte für die Entdeckung von Schwachstellen senken. Durch den Einsatz von Agentic KI Hooking-Tools wie Reverse Engineering- und generative Fuzzing-Tools wird KI zunehmend in der Lage sein, dies auf Software mit größerer und interessanterer Komplexität anzuwenden.
Während die Risiken durch Exploits steigen, ist unser derzeitiges Ökosystem für Bedrohungsinformationen nicht in der Lage, dieser Herausforderung gerecht zu werden. Die primäre Autorität für die Schwere und Beschreibung von Schwachstellen ist die US National Vulnerability Database (NVD), die vom NIST gepflegt wird. Die NVD räumt ein, nicht in der Lage zu sein, mit der Geschwindigkeit der Entdeckung von Schwachstellen Schritt zu halten, wobei der Analyserückstand ein bekanntes Problem in der Cybersicherheit darstellt.
Die CISA führt eine Liste der bekannten ausgenutzten Schwachstellen, in der angegeben wird, welche in NVD erfassten Schwachstellen in freier Wildbahn ausgenutzt werden. Wenn Anbieter Schwachstellen in ihrer Software oder über ihre eigenen Bug-Bounty-Programme selbst bewerten und dann Patches mit der Angabe „alles in Ordnung“ veröffentlichen, bleibt oft vieles anfällig. Dies gilt auch für Anbieter, die die Sicherheit ihrer neuen KI bewerten.
Das unterstreicht nochmals, dass die Förderung der Offenlegung von Fehlern durch Dritte immer dringlicher wird. Während Anbieter von diesen koordinierten Offenlegungen durch Dritte profitieren, indem sie ihr Produkt proaktiv verbessern, ist der Markt für ethische Schwachstellenforschung und -offenlegung suboptimal.
Möglicherweise bewirken Bemühungen, diese Leerstelle zu schließen, dass das Reporting und Analyse immer fragmentierter werden. Letzte Woche kündigte Wiz eine Online-Datenbank für Cloud-Schwachstellen an, die wirklich wichtig ist. Mit Blick auf die aufkommende KI-Software wurden neue Meldemechanismen geschaffen, um mit der sich verändernden Angriffsfläche umzugehen, von den Vorfällen bis hin zu den neuartigen Risiken, die durch neue Softwarefunktionen entstehen.
Um auf den ursprünglichen Fokus zurückzukommen: Auch Spyware wird separat verfolgt, wobei das CyberPeace Institute Reports über Spyware, die die Zivilgesellschaft betrifft, sammelt, und Freedom House eine Vorlage für Berichte zu verwendeter Spyware herausgibt.
Die Meldemechanismen nehmen parallel zu den Schwachstellen zu, und eine gewisse Koordination wäre hilfreich. Wichtige Fragen im Zusammenhang mit dem Sicherheitsmanagement – woher beziehe ich meine Schwachstellen? Wie erfahre ich, was meine Kollegen betrifft? – sind schwieriger zu beantworten, wenn die Meldemechanismen fragmentiert sind. Hier kommt der Kapazitätsaufbau ins Spiel.
Ausblick
Viele der im „Pall Mall Process: Consultation on Good Practices Summary Report“ vorgeschlagenen Abhilfemaßnahmen werden einen großen Beitrag zur Bekämpfung der Verbreitung von CCIC leisten, vielleicht mit Ausnahme von Exportkontrollen. Eine internationale Zusammenarbeit ist erforderlich, um Normen für die Nutzung und den Handel mit gefährlichen Technologien festzulegen, und die Festlegung eines Kodex für die verantwortungsvolle Nutzung und Beschaffung durch die Regierung deckt Teile des CCIC-Lebenszyklus ab.
Ein koordiniertes Reporting bildet die meisten anderen Teile des CCIC-Lebenszyklus ab, nicht nur Reports über die Verwendung von Spyware und den Handel damit, sondern auch zu Schwachstellen, Exploits und Vorfällen. Um im Wettlauf um die Entdeckung und Ausnutzung von Softwarefehlern voranzukommen, nutzen Verteidiger die verantwortungsvolle Offenlegung von Schwachstellen, um sich vor Zero-Day-Angriffen zu schützen. Dies erfordert Forschung und einen gesunden Markt für koordinierte Offenlegung.
Es könnte mehr getan werden, um den Informationsaustausch zu verbessern, und hier ist der Aufbau von Kapazitäten wirklich notwendig. Die Förderung von anbieterunabhängigen Bug-Bounty-Programmen, die einen koordinierten Offenlegungsprozess verwenden, würde die Marktbedingungen verbessern und die Forschung aus dem Graumarkt fernhalten. Diese Programme müssen sich dazu verpflichten, mit Anbietern wie HackerOne, BugCrowd und der Zero Day Initiative von Trend Micro zusammenzuarbeiten, um Fehler zu beheben.
Andernfalls können Schwachstellen für eine spätere Nutzung in Exploits gehortet oder von Anbietern abgefangen und beseitigt werden, weil sie keinen sinnvollen Patch veröffentlichen wollen. Darüber hinaus ist die Finanzierung von Programmen zur Analyse von Schwachstellen erforderlich, um mit dem zunehmenden Tempo der Entdeckung von Schwachstellen Schritt halten zu können.
Verteidiger müssen mit KI-Tools ausgestattet werden, um von der KI entdeckte Fehler zu untersuchen. Programme für den sicheren Informationsaustausch fördern den Schutz vor Angriffen, und mehr Anbieter könnten dem Beispiel des Advanced Protection Program (MAPP) von Microsoft folgen und Informationen über Patches austauschen. Diese Programme könnten durch koordinierte Schwachstellenanalysen ergänzt werden. Schließlich würde eine Standardisierung und Koordinierung des Reportings von Vorfällen die Abwehr verbessern und einen besseren Überblick über die Bedrohungslandschaft ermöglichen.
Zwar ist es unrealistisch, eine gemeinsame Governance über Grenzen oder Branchen hinweg zu erwarten, doch es kann mehr getan werden, um einen sicheren Informationsaustausch zu fördern. Regulierung ist schwieriger als der Aufbau sicherer kollaborativer Forschungsprogramme, und die Verbesserung des Ökosystems für Cyber-Bedrohungsinformationen wird allen Verteidigern Auftrieb geben.