Die Auswahl erfolgt nach vorgegebenen Kriterien. Die Geheimhaltung muss den nationalen Interessen dienen. Der Geheimdienst prüft aber auch mögliche Risiken für Behörden, Bürger und Unternehmen.
Der britische Auslandsgeheimdienst GCHQ hat erstmals bestätigt, dass er unter bestimmten Bedingungen Details zu ungepatchten Sicherheitslücken zurückhalt. Zudem äußerten sich das GCHQ und das National Cyber Security Center (NCSC) zu den Kriterien, nach denen Sicherheitslücken offengelegt oder eben geheim gehalten werden.
Generell würden neue entdeckte Sicherheitslücken stets an den jeweiligen Hersteller weitergeleitet, betonte der Geheimdienst. Nationale Interessen könnten jedoch dazu führen, dass der Anbieter nicht informiert werde. Die Entscheidung darüber mache man sich nicht leicht. Zuvor komme es immer zu einer „rigorosen Prüfung“ durch Sicherheitsexperten von GCHQ, NCSC und Verteidigungsministerium.
In die Bewertung fließt ein, ob eine Lücke vollständig geschlossen werden kann oder ob eine Offenlegung ein generelles Risiko für die nationale Sicherheit darstellen könnte. Die Experten untersuchen außerdem, ob die Handlungsfähigkeit von Geheimdienstpartnern eingeschränkt wird, falls ein Hersteller die Möglichkeit erhalten würde, eine Sicherheitslücke zu schließen.
Des Weiteren prüfen GCHQ und NCSC, welche Risiken sich für die Regierung, Ministerien und Behörden sowie kritische Infrastrukturen ergeben, falls eine Schwachstelle unter Verschluss bleibt. Es werden aber auch mögliche Gefahren für Unternehmen, Bürger und andere Staaten berücksichtigt.
Die Schwachstellen nutzt das GCHQ nach eigenen Angaben, um Informationen zu sammeln oder Aktivitäten von Kriminellen, Hackern und feindseligen Staaten aufzuhalten, die dem Vereinigten Königreich schaden wollen. Die Bedeutung einer Anfälligkeit für die Erfüllung der Aufgaben des Geheimdiensts ist also ein weiteres entscheidendes Kriterium.
Zu den Fragen, die vor der Geheimhaltung einer Sicherheitslücke geklärt werden, gehören „Wie wahrscheinlich ist es, dass diese Anfälligkeit von jemand anderes entdeckt wird?“ und „Wie wahrscheinlich ist es, dass jemand anderes diese Anfälligkeit ausnutzt?“. Zudem werde der Status zurückgehaltener Schwachstelle regelmäßig neu bewertet.
Laut GCHQ gibt es allerdings auch Zero-Day-Lücken, die nicht unter dieses Verfahren fallen. Unter anderem seien solche Schwachstellen davon ausgeschlossen, die andere Staaten mit Großbritannien geteilt hätten.
Auf ein mögliches Risiko, dass sich aus der Geheimhaltung von Sicherheitslücken ergeben kann, ging der Geheimdienst nicht ein. Experten warnen immer wieder davor, dass auch Geheimdienste gehackt werden können oder Whistleblower absichtlich oder unabsichtlich Details zu ungepatchten Anfälligkeiten preis geben könnten.
Ein Beispiel dafür ist der NSA-Exploit EternalBlue, der auf einer Schwachstelle im Netzwerkprotokoll SMB basiert. Nach Bekanntwerden des Exploits wurde die Sicherheitslücke vor allem für die Verbreitung der Ransomware WannyCry und NotPetya benutzt.
ADP-330AB D Clevo P570WM P377SM-A 330W Gaming Netzteile/Adapters
AP13G3N akkus für Acer Iconia W3-810 W3-810P Tablet
061384 061385 akkus für BOSE SOUNDLINK Mini serie
063404 akkus für BOSE SOUNDLINK Mini I serie
9TV5X akkus für Dell XPS 12 9250 Latitude 12 7275 serie
A1406 akkus für Apple MacBook Air 11″ A1370 2011 2012
A1406 A1370 akkus für MacBookAir5.1 MacBook Air 11″
FG6Q akkus für AMAZON FG6Q 541385760001 Pad
88796akkus für Bose Soundlink Mini 2 Pack
HF12 Philips HF3520/3485/3480/3471/3470 Wake-Up Light EXCELLENT Netzteile/Adapters