Ein KI-Chatbot von Meta konnte von Dritten mit simplen Aufforderungen dazu benutzt werden, um die Kontrolle über beliebige Accounts auf Instagram zu übernehmen. Details dazu wurden jetzt bekannt, nachdem unter anderem ein altes Konto des Weißen Hauses unter Barack Obama iranische Propaganda geteilt hat. Ob es einen Zusammenhang gibt, ist aber unbekannt. Öffentlich gemacht wurde der Angriffsweg vom US-Techmagazin 404 Media, das sich auf Telegram-Gruppen von Sicherheitsforschern und Hackinggruppen beruft. Der Instagram-Konzern Meta hat bereits reagiert, der Konzernsprecher versicherte auf X: „Das Problem wurde behoben und wir sichern betroffene Accounts.“

Erschreckend simple Methode

Für die Accountübernahme musste man dem Bericht zufolge lediglich per VPN vortäuschen, dass man sich in etwa in der Heimatregion der Person befindet, deren Instagram-Account gekapert werden soll. Als Nächstes konnte ein KI-Chatbot für Supportanfragen aufgefordert werden, den gewünschten Account mit einer neuen E-Mail zu verbinden und dann einen Code zum Zurücksetzen des Passworts dorthin zu senden. Dem sei der Chatbot nachgekommen, berichtet 404 Media. Wie oft solche Angriffe tatsächlich erfolgreich durchgeführt wurden, ist unklar. Auf dem Kurznachrichtendienst X hat aber etwa die bekannte App-Forscherin Jane Manchun Wong erklärt, dass mit dieser Methode das Passwort ihres Accounts geändert wurde.

Meta hat erst im März einen KI-Assistenten für Supportanfragen freigeschaltet, der auf Facebook und Instagram rund um die Uhr bei Problemen helfen sollte. Der Konzern hat damals erklärt, dass die KI dabei helfen soll, „dein Passwort zu aktualisieren und die Einstellungen im Profil zu verändern“. Der KI-Assistent sei darauf ausgelegt, Probleme mit einem Account zu lösen und nicht nur Vorschläge zu machen, hieß es damals. 404 schreibt nun, dass auf Telegram lange Listen mit Accountnamen herumgereicht worden seien, die angeblich über die Ausnutzung dieser Funktion übernommen wurden. Überprüfen lässt sich das aber nicht. Die Angriffsmethode zeige das enorme Risiko, das mit der Auslagerung des technischen Supports an KI-Technik verbunden sei, schreibt das Portal noch.

(mho)

Fachleute haben es schon vermutet, jetzt belegen Recherchen von netzpolitik.org und Bayerischem Rundfunk exklusiv: Auch in Deutschland nutzt die Polizei Daten der Werbe-Industrie. Mindestens zwei Landeskriminalämter haben sich von kommerziellen Anbietern Daten beschafft.

Dahinter steckt das oftmals illegale Geschäft der Databroker. Erhoben werden solche Daten angeblich nur zu Werbezwecken, doch über Databroker werden sie zur Handelsware. In die Hände der Datenhändler gelangen sie über Tracking-Firmen, abgesaugt von populären Apps – und in der Regel ohne Wissen der Betroffenen.

Zum Angebot der Databroker gehören auch metergenaue Ortungen, aus denen sich Bewegungsprofile von Handys und ihren Besitzer*innen ablesen lassen: Wohnort, Arbeitsplatz und mehr. Das gefährdet nicht nur die Privatsphäre aller, sondern lässt sich auch für Spionage und Sabotage nutzen. Expert*innen aus Politik und Wissenschaft sehen im Handel mit Standortdaten deshalb eine Gefahr für die nationale Sicherheit.

Dass Polizeibehörden selbst Daten der Online-Werbeindustrie nutzen, war bislang nur von wenigen Staaten bekannt, etwa den USA und seit Kurzem Ungarn. Jetzt haben das auch zwei deutsche Landeskriminalämter bestätigt: Brandenburg und Mecklenburg-Vorpommern. Anlass waren Anfragen nach dem Informationsfreiheitsgesetz (IFG) und Presseanfragen von netzpolitik.org und dem BR.

Ein Geschäft, das Europas Sicherheit bedroht

Möglicherweise nutzen noch mehr deutsche Landespolizeien solche Daten. In neun Bundesländern haben die Behörden eine Auskunft verweigert. Nur in fünf Bundesländern hat die Polizei den Einsatz klar verneint.

In Reaktion auf die Recherche hat der Landesdatenschutzbeauftragte Mecklenburg-Vorpommern eine Prüfung eingeleitet. Weder seine Behörde noch die sonstigen 15 Landesdatenschutzbehörden, die wir angefragt haben, sehen eine konkrete rechtliche Grundlage für die Nutzung von Werbedaten durch die Polizei.

Auch der Polizeirechtler Mark Zöller von der Ludwig-Maximilians-Universität München hält die Praxis für rechtswidrig. Er spricht von einem „wirklich massiven“ Risiko, dass Behörden Daten erhalten, die sie nicht zu sehen bekommen sollten.

Unsere Recherche zeigt: Auf wahrscheinlich illegale Weise unterstützt die Polizei den Schwarzmarkt der Databroker. Damit beteiligen sich deutsche Behörden im Namen der Sicherheit an einem Geschäft, das selbst Europas Sicherheit bedroht. Ob und wie viel Steuergeld dabei geflossen ist, wissen wir jedoch nicht.

Brandenburg „greift auf Datenhändler zurück“

Ein wichtiger Baustein unserer Recherche war eine Liste von sogenannten ADINT-Firmen. ADINT steht für Advertising-based Intelligence, also werbebasierte Aufklärung. Die Liste haben der Tracking-Forscher Wolfie Christl und das Citizen Lab der Universität Toronto bereitgestellt. Sie arbeiten an einer globalen Bestandsaufnahme zum Missbrauch von Werbedaten für Überwachungszwecke. Ihre bislang unveröffentlichten Zwischenergebnisse sind in unsere IFG- und Presseanfragen an deutsche Behörden geflossen.

Die Polizei in Brandenburg antwortete:

Das Landeskriminalamt Brandenburg greift zur Bekämpfung unterschiedlicher Kriminalitätsphänomene bei der Informationsbeschaffung anlassbezogen auch auf Datenhändler oder andere Anbieter kommerziell erwerblicher Daten zurück.

Unter anderem würden „in den Phänomenbereichen Cybercrime und Wirtschaftskriminalität Daten weniger kommerzieller Anbieter erhoben“. Dies diene „in der Regel zur Analyse von Täter- und Tatzusammenhängen“.

Mehr zu den Daten und ihren Quellen, den beteiligten Firmen oder entsprechenden Verträgen wollte die Behörde nicht offenlegen. Das könne „Belange der Strafverfolgung und ‑vollstreckung, der Gefahrenabwehr sowie die Tätigkeit der Polizei beeinträchtigen“. Wir wissen deshalb nicht genau, welche kommerziellen Daten die Polizei in Brandenburg nutzt und ob dazu auch Handy-Standortdaten gehören.

Die Polizei in Mecklenburg-Vorpommern hat unsere IFG-Anfrage so beantwortet:

Im Zusammenhang mit der Bekämpfung von Kriminalität, die im Zuständigkeitsbereich des LKA MV liegt, wie zum Beispiel im Bereich der Bekämpfung von Cybercrime oder auch Wirtschaftskriminalität, erfolgt mitunter die Nutzung von Daten weniger und etablierter kommerzieller Anbieter, insbesondere für eine erste Analyse von Beteiligungen und Verflechtungen.

Erst nach einer weiteren Presseanfrage wurde die Behörde genauer: Zu den Daten gehörten demnach auch Standortdaten der Werbeindustrie. Das LKA legt aber nicht offen, ob es die Daten selbst erworben oder einen ADINT-Dienstleister genutzt hat. Künftig will die Behörde allerdings keine kommerziellen Daten mehr nutzen: Es sei “gegenwärtig und auch zukünftig” nicht vorgesehen.

Mecklenburg-Vorpommern: Datenschutzbehörde prüft

Was sagt die zuständige Datenschutzbehörde zu den Databroker-Deals der Polizei in Mecklenburg-Vorpommern? Das LKA hatte die Behörde „über ein entsprechendes Produkt informiert“, erklärt eine Sprecherin auf Anfrage. Anlass sei ein „regelmäßiger, informeller Austausch“ gewesen. „Bereits in diesem Termin haben wir uns kritisch zum Einsatz und insbesondere Zweifel an einer tragfähigen Rechtsgrundlage geäußert.“

Dass die Polizei das Produkt tatsächlich eingesetzt hat, erfuhr die Behörde jedoch erst auf Anfrage von netzpolitik.org und BR, wie der Landesdatenschutzbeauftragte Sebastian Schmidt auf Anfrage erklärt. Daraufhin habe die Behörde eine Prüfung eingeleitet. Zunächst müsse man herausfinden, welche Daten die Polizei tatsächlich genutzt habe und wofür – mehr Details zum konkreten Fall könne er deshalb nicht nennen. Grundsätzlich weist der Datenschützer jedoch auf drei mögliche Probleme bei kommerziellen Werbedaten hin:

Erstens könne die Polizei mit Standortdaten aus der Werbe-Industrie „ähnliche Erkenntnisse“ gewinnen wie mit einer Funkzellenabfrage – so nennt man es, wenn die Polizei Handys über Daten von Mobilfunkanbietern ortet. Diese Überwachungsmaßnahme muss aber ein*e Richter*in genehmigen. „Einen solchen Richtervorbehalt würde man zum Beispiel umgehen, wenn man kommerzielle Standortdaten nutzt, ohne dass man eine entsprechende Rechtsgrundlage dafür hat“, erklärt Schmidt.

Zweitens stecken in den Angeboten von Databrokern oftmals Daten von Millionen Geräten, also von sehr vielen Unbeteiligten. Daran seien noch mal andere Anforderungen geknüpft, als wenn es nur um Verdächtige gehe, erklärt der Datenschützer. „Wir prüfen selbstverständlich auch, ob Daten von unbeteiligten Dritten angekauft worden sind.“

Drittens ist bei kommerziell erworbenen Standortdaten nicht klar, ob sie rechtmäßig erhoben wurden. Die bisherigen Recherchen von BR und netzpolitik.org zeigen: Von der informierten Einwilligung, auf die sich viele App-Betreiber und Databroker mit Blick auf die europäische Datenschutzgrundverordnung (DSGVO) berufen, kann in der Regel keine Rede sein. Schmidt sagt: „Diese Daten dann für polizeiliche Ermittlungen zu verwenden, ist aus datenschutzrechtlicher Sicht nicht ganz unproblematisch.“

Die Prüfung könnte Schmidt zufolge etwa ein halbes Jahr lang dauern. Das heißt, Ergebnisse kommen nicht vor der Landtagswahl am 20. September, in der die in Teilen rechtsextreme AfD Umfragen zufolge stärkste Kraft werden könnte. Was würde eine potenzielle AfD-Regierung mit einem solchen Überwachungs-Instrument tun?

Polizei-Behörden sehen sich im Recht

Der Fall Mecklenburg-Vorpommern könnte für ganz Deutschland wichtig sein. Denn unsere Recherchen zeigen: Bundesweit gehen die Einschätzungen von Polizei- und Datenschutzbehörden zur Rechtmäßigkeit der Nutzung von Werbedaten auseinander.

Wir haben alle 16 Landesdatenschutzbehörden angefragt – keine nannte eine konkrete Rechtsgrundlage für den Einsatz kommerzieller Standortdaten durch die Polizei.

Offenbar bräuchte es jedoch eine solche Grundlage. Allgemeine Ermittlungsbefugnisse, sogenannte Generalklauseln, dürften nicht ausreichen. Das sagt etwa die Landesdatenschutzbeauftragte von Brandenburg auf Nachfrage von BR und netzpolitik.org. Generalklauseln “können unseres Erachtens nicht für die Erhebung und Verwendung kommerzieller Standortdaten herangezogen werden”.

Das LKA Brandenburg, das nach eigener Aussage auf Datenhändler zurückgreift, hat unsere Frage zur Rechtsgrundlage nicht beantwortet. Andere Polizeibehörden argumentieren jedoch mit Generalklauseln. Das LKA Mecklenburg-Vorpommern beruft sich etwa auf allgemeine Befugnisse in der Strafprozessordnung und dem Landespolizeigesetz. Auch die Landeskriminalämter von Hamburg, Nordrhein-Westfalen, Thüringen und Saarland halten den Einsatz kommerzieller Standortdaten für rechtlich möglich.

Diese neun LKAs schweigen

Während die Polizeibehörden in Brandenburg und Mecklenburg-Vorpommern einige Fragen offenlassen, sind die Behörden der meisten anderen Bundesländer noch weniger transparent.

Lediglich die Polizei in Bremen, Hessen, Rheinland-Pfalz, Sachsen-Anhalt und Schleswig-Holstein hat den Einsatz kommerzieller Werbedaten bei unseren jüngsten Presseanfragen klar verneint.

Neun weitere LKAs verwiesen auf Geheimschutzgründe und äußern sich nicht. „Um die Wirksamkeit der Strafverfolgung und der Gefahrenabwehr effektiv zu schützen und laufende Verfahren nicht zu gefährden, müssen diese Angaben vertraulich behandelt werden“, heißt es etwa aus Sachsen. Thüringen und Baden-Württemberg verweisen auf „polizeitaktische Gründe“.

Von „sensiblen Bereichen der Polizeiarbeit“, schreiben die Behörden in Niedersachsen und Hamburg. Auch Bayern, Berlin, Nordrhein-Westfalen und das Saarland verweigerten eine Auskunft.

Jurist: Praxis ist „rechtswidrig“

Darf die Polizei nun Werbedaten nutzen oder nicht? Der Jurist Mark Zöller ist Professor an der Ludwig-Maximilians-Universität München und forscht dort zu Innerer Sicherheit und Digitalisierung. Im Gespräch mit netzpolitik.org und BR sagt er zur Nutzung von Werbedaten durch die Polizei: „Nach dem jetzigen Stand der Dinge wäre das rechtswidrig.“

Eine Ermächtigungsgrundlage gebe es in keinem Polizeigesetz, Behörden könnten sich nicht auf bestehende Generalklauseln berufen. „Wer das im Moment macht, handelt ohne gesetzliche Grundlage.“

Zwar könne die Polizei im Einzelfall auch illegal erhobene Daten verwenden, wie der Jurist erklärt. Die Rechtsprechung folge dem Muster: Je schlimmer die Straftat, desto eher könne auch ein rechtswidrig erhobenes Beweismittel benutzt werden. Im Fall von Standortdaten und anderen Informationen aus der Werbeindustrie brauche es jedoch ausdrückliche gesetzliche Regelungen.

„Das Risiko halte ich für wirklich massiv, dass man da über die Hintertür Daten erhält, die man auf verfassungskonformen Weg als Staat eigentlich gar nicht zu sehen bekommen sollte“, sagt Zöller. Nach der Rechtsprechung des Bundesverfassungsgerichts müssten sich Menschen darauf verlassen können, dass ihre Daten nur für den Zweck verwendet werden, für den sie erhoben werden.

„Wir sehen das sehr häufig, dass Polizeibehörden neue technische Möglichkeiten erkennen und dann schon mal voranpreschen, weil die Verlockung groß ist, so etwas zu nutzen“, sagt Zöller mit Blick auf den Datenhandel. Auch ermittlungstaktisch könne man das nachvollziehen. Im Rechtsstaat funktioniere die Logik jedoch anders herum: „Erst regeln, dann loslegen.“

Zöller sieht es kritisch, dass mehrere Polizeibehörden den Einsatz von Werbedaten weder bestätigen noch verneinen: „Das spricht dafür, dass das auch dort zumindest in Erwägung gezogen wird.“

Der Wiener Tracking-Forscher Wolfie Christl warnt vor den Folgen staatlicher Überwachung mit Werbedaten: „Sollten deutsche Polizeibehörden ADINT-Systeme einsetzen, wäre damit eine Art unkontrollierte Massenüberwachung möglich – auf Grundlage großer Mengen zugekaufter personenbezogener Verhaltensdaten über Millionen von Menschen in Deutschland.“

Er spricht vom „Missbrauch“ der Daten für Überwachung. „Es gibt über die gesamte Datenlieferkette hinweg keine Rechtsgrundlage für eine Weitergabe dieser Daten für Überwachungszwecke.“

Bundesbehörden mauern ebenfalls

Nicht nur in den Bundesländern verweigern Sicherheitsbehörden Transparenz, sondern auch auf Bundesebene. Nutzen etwa die Bundespolizei und Bundeskriminalamt Daten der Werbe-Industrie? Das wollte Ende 2025 die Bundestagsabgeordnete Donata Vogtschmidt (Die Linke) in einer Kleinen Anfrage wissen. Die Bundesregierung gab keine Auskunft.

Auch ein geringfügiges Risiko des Bekanntwerdens derart sensibler Informationen kann unter keinen Umständen hingenommen werden.

Nicht einmal in eingestufter Form, also unter Auflagen zur Geheimhaltung, wollte die Regierung das Parlament über eine mögliche Nutzung von Werbedaten durch Polizeibehörden informieren. Auch Auskünfte zur Nutzung durch Geheimdienste verweigerte sie auf vorherige Anfragen von netzpolitik.org und BR.

Fachleute halten es jedoch für wahrscheinlich, dass auch Bundesbehörden bei Databrokern einkaufen oder Dienste von ADINT-Anbietern nutzen. „Es gibt gute Gründe, davon auszugehen, dass dies längst geschieht“, schlussfolgern die Autoren einer Studie des Thinktanks Interface im Jahr 2024. Hinweise darauf gibt es unter anderem in der Begründung für die 2023 beschlossene Novelle des BND-Gesetzes.

Auch die Wissenschaftlichen Dienste des Deutschen Bundestages sehen Hinweise, „dass die Praxis kein Ausnahmephänomen darstellt, sondern zunehmend Teil des behördlichen Informationsmanagements wird“. Das dazu gehörige Gutachten entstand auf Anfrage von Linken-Politikerin Vogtschmidt.

Sollten Bundesbehörden tatsächlich Werbedaten kaufen, würde das laut Gutachten rechtlich auf tönernen Füßen stehen: Bundespolizei und Bundeskriminalamt hätten dafür keine Rechtsgrundlage, heißt es. Eine klare Rechtsgrundlage fehlt demnach sogar für Geheimdienste, die deutlich mehr Befugnisse zur Überwachung haben.

Politiker*innen warnen über Parteigrenzen hinweg

Hinter dem Geschäft mit Handy-Standortdaten steckt globale kommerzielle Massenüberwachung. Hierzu recherchieren netzpolitik.org, Bayerischer Rundfunk und internationale Recherche-Partner seit Februar 2024. Databroker bündeln Daten aus der Werbe-Industrie und verkaufen sie in riesigen Paketen, in der Regel rechtswidrig. Dabei geht es längst nicht mehr um personalisierte Werbung. Die Daten werden zur Handelsware – ein klarer Bruch mit der Zweckbindung, wie sie die DSGVO verlangt.

Allein anhand von Gratis-Kostproben verschiedener Anbieter konnte das Recherche-Team inzwischen mehr als 13 Milliarden Handy-Standorte von Millionen Betroffenen weltweit sammeln und auswerten.

In zahlreichen Veröffentlichungen haben die Databroker Files gezeigt: In den Daten stecken teils genaueste Bewegungsprofile. Sie verraten Wohnadressen und Urlaubsziele, aber auch Privates wie Besuche in Kliniken, Bordellen oder religiösen Einrichtungen. Ausspionieren lassen sich selbst hochrangige Beamt*innen der Bundesregierung und der EU-Kommission oder Menschen mit Zugang zu Militärstützpunkten und Geheimdiensten.

Sicherheitsbehörden müssen die milliardenfachen Standortdaten nicht selbst auswerten. Dafür bieten spezialisierte Firmen Software an. Zum Angebot gehört eine interaktive, grafische Nutzungsoberfläche, ähnlich wie ein Online-Kartendienst. Statt nach Restaurants können Beamt*innen damit etwa nach Handy-Ortungen in bestimmten Gebieten suchen sowie nach den Bewegungsprofilen bestimmter Geräte.

Für den Zugriff auf solche Software verlangen ADINT-Firmen eine Gebühr. Zur Branche gehören etwa die US-amerikanische Firma Penlink, das israelische Unternehmen Rayzone oder das italienische RCS Labs. Zu den öffentlich bekannten Kunden zählen die US-amerikanische Abschiebe-Miliz ICE und die ungarische Regierung, wie kürzlich das Citizen Lab der Universität Torotono mit dem Medium VSquare aufgedeckt hat.

Parteiübergreifend haben Politiker*innen in Deutschland und in der EU den unkontrollierten Handel mit Standortdaten aus der Werbeindustrie als Gefahr für die innere und äußere Sicherheit bezeichnet. Mit Blick auf erhöhte Gefahr von Spionage ist die Sorge groß, dass ausländische Geheimdienste solche Daten nutzen.

netzpolitik.org und Bayerischer Rundfunk recherchieren weiter zur Nutzung von Werbedaten durch Polizeibehörden. Für Hinweise sind die Autoren Ingo Dachwitz und Sebastian Meineck dankbar.

Das US-amerikanische National Institute of Standards and Technology (NIST) wird die Bewertung von IT-Sicherheitslücken mit den bekannten CVSS-Schweregraden weitgehend einstellen. Das ist eine der Maßnahmen, mit denen NIST den wachsenden Rückstau seiner National Vulnerability Database (NVD) bekämpfen möchte. Wie das vereinbar ist mit der rechtlichen Verpflichtung, CVSS (Common Vulnerability Scoring System) zu berechnen, bleibt offen – aber wo kein Kläger, da kein Richter.

Die NVD baut auf CVE auf. CVE (Common Vulnerabilities and Exposures) ist ein System zur standardisierten Identifikation von IT-Sicherheitslücken. Das NIST übernimmt die CVE-Einträge und reichert sie mit detaillierten Bedrohungsinformationen, Hinweisen zu verfügbaren Updates und sonstigen Handlungsempfehlungen an. Dazu gehört eine Bewertung nach CVSS, wie schwerwiegend das Problem ist, sowie die Erstellung einer maschinenlesbaren Liste betroffener Software. Beispielsweise kann ein Fehler in einer Code-Bibliothek zahlreiche Programme ganz unterschiedlicher Hersteller treffen, die diese Bibliothek verwenden.

IT-Sicherheitsverantwortliche, aber beispielsweise auch Journalisten wie wir von heise security, nutzen die NVD zum Nachschlagen aktueller Bedrohungsdetails. Hinzu tritt automatisierte Auswertung der NVD-Einträge. Stand April 2026 haben durchschnittlich mehr als 300.000 Unique User NVD pro Tag genutzt, der Abfragetraffic hat sich auf 22 Terabyte täglich summiert. Die intensive Nutzung zeigt, wie wichtig der Dienst zur Verbesserung der IT-Sicherheit ist.

Unterfinanziert und schlecht vorbereitet

Das Problem: NIST bekommt nicht genügend Budget für den Betrieb der NVD. Die Zahl der täglich gemeldeten Sicherheitslücken steigt laufend, die Personalstärke nicht. Und so ist der Rückstau von 13.000 Analysen im Juni 2024 auf rund 27.0000 Stand September 2025 angewachsen, trotz vorangegangener Bemühungen des NIST. Im letzten Quartal 2025 dürfte NIST den Rückstau immerhin stabil gehalten haben.

Nun drängt der Rechnungshof des US-Handelsministeriums auf Einschränkungen. Er schätzt, dass 2026 mehr als 60.000 zu analysierende Schwachstellen anfallen werden. Zum Vergleich: ICAT (Internet Category of Attack Toolkit), der Vorläufer des NVD, nahm seine Arbeit 1999 auf und erreichte erst drei Jahre später die Marke von 5.000 Einträgen insgesamt.

Der Bericht kritisiert NIST für Mangel an strategischer Planung. Das ist nicht von der Hand zu weisen: Aufgrund budgetrechtlicher Vorgaben durfte NIST nur kleine Unternehmen mit Führung der NVD beauftragen. Anfang 2021 wurde der Auftragnehmer jedoch von einem größeren Unternehmen aufgekauft, weshalb der Vertrag drei Jahre später auslaufen musste. Doch im Herbst 2023 stellte die US-Behörde Cybersecurity and Infrastructure Security Agency (CISA) ihre finanziellen Beiträge zum Betrieb der NVD ein.

Damit blieb die Arbeit ab Februar 2024 liegen und der Rückstau begann. Der Rechnungshof erkennt zwar das finanzielle Problem an, hält aber den Zuständigen vor, zu spät reagiert zu haben. Erst im Mai 2024 kam der Vertrag mit einem neuen Dienstleister zustande, die Einschulung der Mitarbeiter wurde im November des Jahres abgeschlossen. Das NIST verspricht nun eine Strategie sowie einen management plan zum Abarbeiten des Rückstaus.

Jetzt gilt der CVSS-Vorschlag des Herstellers

Zusätzlich wirft der Rechnungshof dem NIST Geldverschwendung vor, wenngleich in bescheidenem Ausmaß: Die Berechnung der CVSS sei meist unnötig, weil die Herausgeber der jeweiligen Software bereits selbst einen CVSS-Wert angeben. Dabei ist die unabhängige Berechnung wertvoll, schließlich spielen Software-Herausgeber Fehler ihrer Produkte gerne herunter. Für dieses offene Geheimnis hat NIST im Rahmen der Prüfung allerdings keine Beweise vorgelegt, weshalb der Bericht das ausdrücklich nicht beachtet.

Durch Einstellung der CVSS-Bewertung könne das NIST binnen zweier Jahre 800.000 US-Dollar einsparen. Das NIST versucht den Spagat: Die routinemäßige CVSS-Berechnung wird sofort eingestellt. Nur wenn der vom Hersteller angegebene Wert deutlich inkonsistent mit dem Standard oder öffentlich bekannten Informationen ist, wird das NIST „vielleicht” noch einen Wert berechnen – ansonsten nur auf ausdrücklichen Wunsch. Unterdessen sucht das Institut nach einer Möglichkeit, CVSS automatisch zu berechnen.

NIST NVD v CISA Vulnrichment

Weitere 200.000 US-Dollar soll das NIST vergeudet haben, weil das CISA seit Mai 2024 ein paralleles Projekt namens Vulnrichment betreibt. Tatsächlich überlappen sich NVD und Vulnrichment: Beide sichern die Quellen von Hinweisen auf Sicherheitslücken, bewerten deren Schwere nach CVSS und kategorisieren nach CWE. (CWE steht für Common Weakness Enumeration. Dabei geht es nicht um individuelle Sicherheitslücken, sondern um Kategorien häufiger Schwachstellen bei Hard- und Software.)

Doch nur in der NVD kann man nachlesen, welche Produkte von einer Lücke betroffen sind. Dazu führt das NIST die CPE (Common Platform Enumeration), eine standardisierte Liste von Software-Bezeichnungen und -Versionen – schließlich recht es ja nicht, „Lücke des Taschenrechners in Windows” hinzuschreiben. Bei Vulnrichment fehlt diese wichtige Information, dafür berechnet CISA einen zweiten Schweregrad namens SSVC (Stakeholder-Specific Vulnerability Categorization), der Software-Administratoren anzeigen soll, wie dringend das Problem in ihrem konkreten Einsatzszenario ist.

Während das NIST zur Führung des NVD gesetzlich verpflichtet ist, betreibt CISA Vulnrichment aus eigenem Anstoß. Warum dann NIST 200.000 Dollar vergeudet haben soll und nicht CISA, setzt der Bericht nicht auseinander. Dennoch verspricht das NIST, die Zusammenarbeit mit CISA zu verbessern. Zudem hofft das NIST auf ein Werkzeug, mit dem einmeldende Unternehmen selbst CPE-standardisiert angeben können, welche Programme von einer konkreten Sicherheitslücke betroffen sind.

Ein weiterer Kritikpunkt ist mangelhafte Kommunikation. Speziell hervorgehoben wird ein offener Brief von mehr als 50 IT-Sicherheitsexperten, der im April 2024 den Rückstau und die mangelhafte Transparenz ansprach. Das NIST hat darauf nie geantwortet. Jetzt will es immerhin eine Kommunikationsstrategie ausarbeiten.

(ds)