FBI muss Browserlücke vorerst nicht an Mozilla geben
Behörden in den USA spielen mit den Entwicklern „sicherer“ Netzlösungen ein Katz- und Maus-Spiel. Die einen versuchen Lücken zu verhindern, die anderen wollen genau diese finden – und für Ermittlungen ausnutzen. Mozilla legt mit dem Firefox Browser den Grundstein für das anonyme Tor-Netzwerk, eine Lücke sorgte dafür, dass die Nutzer gar nicht so anonym unterwegs waren und vom FBI letztendlich ermittelt werden konnten. Da es sich hier um eine Sicherheitslücke handelt, die auch Nutzer betrifft, die keinen illegalen Aktivitäten nachgehen, wäre es natürlich toll, wenn diese auch geschlossen werden würde.
Genau das wollte Mozilla vor Gericht auch erreichen, wurde aber abgewiesen. Das FBI muss die genutzte Lücke nicht offenlegen, allerdings ist der entscheidende Richter auch der Meinung, dass sich Mozilla mit den Bedenken an den Staat wenden müsse. Das wird Mozilla auch tun. Ob die Lücke auch den Prozess durchwanderte, der darüber entscheidet, ob diese an das betroffene Unternehmen gegeben werden muss, blieb unbeantwortet.
Nun ist eine Entscheidung gerade in diesem konkreten Fall nicht wirklich einfach. Ähnlich wie im Fall Terrorismus kann man auch mit Kinderpornographie Meinung machen. Die Besuche einer solchen Seite wurden nämlich vom FBI über zwei Wochen durch Ausnutzung der Lücke untersucht und somit zahlreiche Fälle, 137 Nutzer der Seite werden in den USA strafrechtlich verfolgt.
Allerdings bedeutet das Vorhandensein dieser Lücke eben auch, dass diese beliebig verwendet werden kann. Nicht nur um illegale Tätigkeiten aufzudecken. Das ist eben das Dilemma. Entweder man schützt alle oder keinen. Schützt man alle, sollte es auch keine Ausnahmen geben, auch wenn dies durchaus moralisch bedenklich ist. Bei der aktuellen Vorgehensweise sieht es so aus, dass Millionen Nutzer gefährdet sind, nur damit 137 Menschen der Prozess gemacht werden kann. Und die Lücke auch nach der Aktion nicht geschlossen werden kann. Ich weiß nicht, ob ich das für richtig halten soll. Wie sieht es da bei Euch aus?
Als staatliche Institution gehört es doch zur Pflicht zu schützen. Da darf man erst gar keinen falschen Anreiz schaffen, dass man für Exploits auch noch Geld zahlt. Gehts gar nicht und natürlich müssen Sicherheitslücken von staatlichen Einrichtungen gemeldet werden IMHO
@Ben: Man kann auch in die Richtung diskutieren das die Opfer der illegalen Geschäfte ,welche über das Tor-Netzwerk abgewickelt werden, vom Staat geschützt werden müssen.
Weiterhin bleibt fraglich, welchen realen Schaden alle „normalen“ Nutzer durch diese Lücke haben/haben könnten. Und ob dadurch ein Schutzanspruch entsteht.
„Die Besuche einer solchen Seite wurden nämlich vom FBI über zwei Wochen durch Ausnutzung der Lücke untersucht und somit zahlreiche Fälle, 137 Nutzer der Seite werden in den USA strafrechtlich verfolgt.“ Man kann das sogar noch anders lesen: 2 Wochen lang wurden Kinderschänder nicht an ihren Dingen gehindert, stattdessen lieber Daten gesammelt.
Niemand von denen hat ein Kind geschändet, Fraggle. Wenn ich Tatort gucke, hab ich ja auch noch keinen umgebracht.
Was die Lücke angeht: Ich gehe von WebRTC aus.
@tux.
Das wäre dann doch sehr einfach, die Lücke ist bereits sehr lange bekannt.
Ich finde die Antwort auf diese Frage auch nicht einfach: Auf der einen Seite ist es die Aufgabe des FBI oder eines Geheimdienstes, Lücken zu finden, um Straftäter zu überführen. Ist es auch ihre Aufgabe, die Allgemeinheit zu schützen. nachdem sie ihren Job erledigt haben, um dann beim nächsten Mal auf ihre entdeckte Lücke nicht mehr zugreifen zu können?
Hier hat das FBI ja nicht von Mozilla verlangt, eine Hintertür einzubauen, sie haben bloß eine gefunden, und die Info darüber für sich behalten. Dumm nur, dass herausgekommen ist, dass es diese Tür gibt. Und da empfinde ich es als nur korrekt, wenn ein Gericht dem FBI sagt: Jungs, ihr hattet euren Spaß, jetzt raus mit der Lücke, es liegt im allgemeinen Interesse, dass diese nicht genutzt werden kann. Denn über die gleiche Lücke können auch Models im Iran oder Blogger bei den Saudis verfolgt werden. Hier geht für mich der Schutz Aller vor dem Verfolgen von Einzelnen auf jeden Fall vor.
Öffentliche Behörden sind zunächst mal nicht verpflichtet die Fehler eines privaten Unternehmens „glattzubügeln“ – es sei denn es geht um Gesetzesverstöße. Und die Aufgabe des FBI ist nun mal nicht in erster Linie darin Softwarefehler zu finden sondern Gesetzesverstöße zu verhindern. Während bei VW ein richtiger – und damit verfolgungswürdiger) – Gesetzesverstoß vorliegt ist es bei einem Browser eben nur eine Softwarefehler. Solange das FBI diesen Fehler nicht auf dem offenen Markt verkauft und so ernsthaft Schaden anrichtet, ist denen nichts vorzuwerfen.