Nach Heartbleed hat die US-Regierung eingestanden, Zero-Day-Lücken geheim zu halten und sie zur Spionage zu verwenden. Allerdings bestreitet ein hochrangiger Beamter des Weißen Hauses in einem Blog, dass die Regierung frühzeitig des schwerwiegenden Heartbleed-Bugs wusste. Die Erklärung stammt von Michael Daniel, Special Assistant des Präsidenten und Cybersecurity Coordinator.
“Einen riesigen Vorrat noch nicht öffentlich bekannter Schwachstellen aufzubauen, während das Internet angreifbar ist und die Menschen in Amerika schutzlos sind, wäre nicht im Interesse unserer nationalen Sicherheit”, schreibt Daniel weiter. “Aber das heißt nicht, dass wir völlig darauf verzichten sollten, dieses Werkzeug zu nutzen, um nachrichtendienstliche Erkenntnisse zu gewinnen und unser Land langfristig besser zu schützen.”
Für und gegen die Veröffentlichung von Schwachstellen gebe es gute Gründe, erklärte das Weiße Haus. Man müsse zwischen einer sofortigen Enthüllung und einem zeitlich begrenzten Zurückhalten genau abwägen. Eine falsche Entscheidung könne schwerwiegende Folgen nach sich ziehen. Durch die Offenlegung einer Sicherheitslücke könne beispielsweise die Chance entgehen, “entscheidende Informationen zu sammeln, um einen terroristischen Angriff oder den Diebstahl von geistigem Eigentum unseres Landes zu verhindern”.
Für die Entscheidungsfindung der Behörden habe die Regierung daher einige Grundsätze entwickelt. Zudem treffe eine hohe Ebene in einem strikten Verfahren die Entscheidung. Schnell anwendbare und unumstößliche Regeln gebe es dabei zwar nicht, aber einige wichtige Fragen müssten beantworten werden: Entsteht eine Gefährdung für den Kern der Internet-Infrastruktur? Sind weitere kritische Systeme, die US-Wirtschaft oder die nationale Sicherheit betroffen? Wie hoch sind die Risiken einer nicht behobenen Lücke? Wie viel Schaden könnten ein gegnerisches Land oder kriminelle Gruppen damit anrichten? Wie dringend werden nachrichtendienstliche Informationen benötigt, die damit zu gewinnen wären? Wie wahrscheinlich ist es, dass andere auf die Schwachstelle stoßen?
Das Weiße Haus geht mit der Erklärung in die Offensive, um das verlorene Vertrauen der Öffentlichkeit wieder herzustellen. Wie die Washington Post berichtete, gab der US-Auslandsgeheimdienst NSA im Jahr 2013 mindestens 25 Millionen Dollar für Zero-Day-Lücken aus. So kaufte er Information über Zero-Day-Lücken von der französischen Sicherheitsfirma Vupen. Zudem erwarb es von dem Unternehmen die Software, um die Schwachstellen zu nutzen.
Wie aus Unterlagen von Whistleblower Edward Snowden hervor geht, umgeht die NSA zudem seit längerer Zeit gängige Verschlüsselungsmethoden, indem sie Schlüssel von Privatfirmen stiehlt, gemeinsam mit Anbietern Hintertüren einrichtet und heimlich Schwächen in Verschlüsselungsstandards einführt. Aus diesem Grund werfen Sicherheitsexperten dem Geheimdienst die gezielte Unterminierung der Internet-Sicherheit vor.
[mit Material von Bernd Kling, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
„Aurora“ läuft beim Argonne National Laboratory des US-Energieministeriums und hat auf 87 Prozent des Systems…
Europäischer Supercomputer JEDI kommt auf den ersten Platz in der Green500-Liste der energieeffizientesten Supercomputer.
Data Awakening: Huawei präsentierte beim Innovative Data Infrastructure Forum 2024 in Berlin neue, auf KI…
Um ihre Verteidigung zu stärken, müssen Staaten und Unternehmen sicherstellen, dass KRITIS-Betreiber nicht nur die…
Reichen die Sicherheitsvorkehrungen der KRITIS-Betreiber bereits aus? Das BSI liefert dazu Kennzahlen auf einer neuen…
Laut Kaspersky ist Schadsoftware die zweithäufigste Bedrohung. Angriffe auf vernetzte Fahrzeuge folgen erst mit Abstand.
View Comments
...und wäre Heartbleed nicht "öffendlich" gemacht worden würden diese Penner in Amiland grad so weitermachen.
Wer macht schon eine Quelle dicht aus der fürstlich gesaugt werden kann. Scheinheiliges Pack!