Nach Heartbleed: USA hat Informationen zu Sicherheitslücken zurückgehalten

Nach Heartbleed hat die US-Regierung eingestanden, Zero-Day-Lücken geheim zu halten und sie zur Spionage zu verwenden. Allerdings bestreitet ein hochrangiger Beamter des Weißen Hauses in einem Blog, dass die Regierung frühzeitig des schwerwiegenden Heartbleed-Bugs wusste. Die Erklärung stammt von Michael Daniel, Special Assistant des Präsidenten und Cybersecurity Coordinator.

Daniel betonte nochmals, dass sich die Regierung ernsthaft für ein offenes, sicheres und verlässliche Internet einsetze. “In den meisten Fällen ist es klar im nationalen Interesse, eine neu entdeckte Sicherheitslücke zu enthüllen”, schreibt er. “Das war bisher so und wird auch weiterhin so gehandhabt.” Immerhin müssen sich alle im täglichen Leben auf das Internet und verbundene Systeme verlassen können. Ohne das Netz funktioniere die Wirtschaft nicht mehr. Aus diesem Grund seien die USA wie alle anderen auf die Sicherheit dieser Systeme angewiesen.

“Einen riesigen Vorrat noch nicht öffentlich bekannter Schwachstellen aufzubauen, während das Internet angreifbar ist und die Menschen in Amerika schutzlos sind, wäre nicht im Interesse unserer nationalen Sicherheit”, schreibt Daniel weiter. “Aber das heißt nicht, dass wir völlig darauf verzichten sollten, dieses Werkzeug zu nutzen, um nachrichtendienstliche Erkenntnisse zu gewinnen und unser Land langfristig besser zu schützen.”

Für und gegen die Veröffentlichung von Schwachstellen gebe es gute Gründe, erklärte das Weiße Haus. Man müsse zwischen einer sofortigen Enthüllung und einem zeitlich begrenzten Zurückhalten genau abwägen. Eine falsche Entscheidung könne schwerwiegende Folgen nach sich ziehen. Durch die Offenlegung einer Sicherheitslücke könne beispielsweise die Chance entgehen, “entscheidende Informationen zu sammeln, um einen terroristischen Angriff oder den Diebstahl von geistigem Eigentum unseres Landes zu verhindern”.

Für die Entscheidungsfindung der Behörden habe die Regierung daher einige Grundsätze entwickelt. Zudem treffe eine hohe Ebene in einem strikten Verfahren die Entscheidung. Schnell anwendbare und unumstößliche Regeln gebe es dabei zwar nicht, aber einige wichtige Fragen müssten beantworten werden: Entsteht eine Gefährdung für den Kern der Internet-Infrastruktur? Sind weitere kritische Systeme, die US-Wirtschaft oder die nationale Sicherheit betroffen? Wie hoch sind die Risiken einer nicht behobenen Lücke? Wie viel Schaden könnten ein gegnerisches Land oder kriminelle Gruppen damit anrichten? Wie dringend werden nachrichtendienstliche Informationen benötigt, die damit zu gewinnen wären? Wie wahrscheinlich ist es, dass andere auf die Schwachstelle stoßen?

Das Weiße Haus geht mit der Erklärung in die Offensive, um das verlorene Vertrauen der Öffentlichkeit wieder herzustellen. Wie die Washington Post berichtete, gab der US-Auslandsgeheimdienst NSA im Jahr 2013 mindestens 25 Millionen Dollar für Zero-Day-Lücken aus. So kaufte er Information über Zero-Day-Lücken von der französischen Sicherheitsfirma Vupen. Zudem erwarb es von dem Unternehmen die Software, um die Schwachstellen zu nutzen.

Wie aus Unterlagen von Whistleblower Edward Snowden hervor geht, umgeht die NSA zudem seit längerer Zeit gängige Verschlüsselungsmethoden, indem sie Schlüssel von Privatfirmen stiehlt, gemeinsam mit Anbietern Hintertüren einrichtet und heimlich Schwächen in Verschlüsselungsstandards einführt. Aus diesem Grund werfen Sicherheitsexperten dem Geheimdienst die gezielte Unterminierung der Internet-Sicherheit vor.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de