NSA darf Informationen zu Sicherheitslücken zurückhalten

Dienen Schwachstellen für die Überwachung oder Strafverfolgung, darf die NSA Informationen über diese zurückhalten. Das steht offenbar in Obamas Geheimdienstreform. Die restlichen Sicherheitslücken muss der Geheimdienst offenlegen.

US-Präsident Barack Obama erlaubt der National Security Agency (NSA), Informationen zu selbstentdeckten Sicherheitslücken zurückzuhalten. Das berichtet die New York Times. Demnach habe der Präsident in seiner Geheimdienstreform angeordnet, dass der Auslandsgeheimdienst die meisten Schwachstellen offenlegen muss, davon seien aber Anfälligkeiten ausgenommen, die zur Überwachung genutzt werden können.

Obama erteilte die Anweisung, nach dem er einen von ihm in Auftrag gegebenen Expertenbericht zur Reform der US-Geheimdienste überprüft hat. Wie die New York Times berichtet, können Sicherheitslücken zurückgehalten werden, wenn sie zur Wahrung der nationalen Sicherheit oder zur Strafverfolgung eingesetzt werden. Die Zeitung beruft sich dabei auf mehrere hochrangige Regierungsvertreter.

Obamas Entscheidung zum Umgang mit Schwachstellen in Software und Hardware kam erst Ende vergangener Woche an die Öffentlichkeit. Am Freitag hatte sie der Nationale Geheimdienstkoordinator in seinem Dementi zum Heartbleed-Bug angesprochen. Demnach bestreitet der Geheimdienst Aussagen von Quellen von Bloomberg, dass die NSA bereits seit einiger Zeit von der Sicherheitslücke in OpenSSL Bescheid wusste und sie für eigene Zwecke ausgenutzt habe.

Mit seiner Geheimdienstreform habe Obama einen neuen Entscheidungsprozess zur Veröffentlichung von Schwachstellen eingeführt, heißt es in der Pressemitteilung. “Außer es gibt eine klare Notwendigkeit in Bezug auf die nationale Sicherheit oder die Strafverfolgung, ist dieses Verfahren auf die verantwortungsvolle Offenlegung solcher Anfälligkeiten ausgerichtet.”

Das Dementi stieß jedoch rundum auf Skepsis. Aus Dokumenten von Whistleblower Edward Snowden geht hervor, dass die NSA bereits seit geraumer Zeit gängige Verschlüsselungsmethoden umgeht. Demnach entwendet der Geheimdienst Schlüssel von Privatfirmen, richtet in Zusammenarbeit mit Anbietern Hintertüren ein und führt unbemerkt Schwächen in Verschlüsselungsstandards ein. Die NSA zahlte einem Bericht von Reuters zufolge Millionen Dollar an den Sicherheitsdienstleister RSA, um für eine fehlerhafte Implementierung von RSA-Tokens zu sorgen. In einem weiteren Snowden-Dokument ist zu lesen, dass die NSA mindestens 25 Millionen Dollar im Jahr 2013 für Zero-Day-Lücken ausgab. Der Geheimdienst gestand über die Informationen zu solchen ungepatchten Sicherheitslücken zu verfügen und sie teilweise zurückzuhalten. Aus diesem Grund beschuldigen Sicherheitsexperten dem Geheimdienst die Unterminierung der Internet-Sicherheit vor.

Aus einem Artikel des Guardian geht hervor, dass die NSA auch nach der Veröffentlichung der Heartbleed-Lücke Vorteile aus dem Fehler ziehen kann. Ab diesem Zeitpunkt habe die NSA die Möglichkeit gehabt, die Master-Schlüssel bestimmter Websites und Internetdienste zu stehlen. Mit diesen könne der Geheimdienst bereits gesammelte Daten entschlüsseln. Die NSA halte darüber hinaus verschlüsselte Daten auf unbestimmte Zeit vor, um sie in der Zukunft mit neuen Entschlüsselungsmethoden zu dechiffrieren. Das könnte der NSA nun zumindest in einigen Fällen mithilfe des Heartbleed-Bugs gelungen sein.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Lesen Sie auch : Cyberangriffe verstecken sich im verschlüsselten Datenverkehr