NSA: “Berichte über wahllose Angriffe auf Computer sind falsch”

Massenhafte Verbreitung von Malware durch den US-Geheimdienst NSA habe es nicht gegeben. Auch eine Nachahmung von Social Media Auftritten wie Facebook oder anderen habe es nicht gegeben.

Das Hauptqartier der NSA in Fort Meade Maryland. Quelle: NSA
Das Hauptqartier der NSA in Fort Meade Maryland. Quelle: NSA

Der Bericht von The Intercept sei schlicht falsch, so die National Security Agency (NSA). Damit dementiert der US-Geheimdienst den Bericht, wonach der Geheimdienst Millionen von Computern weltweit angegriffen und mit Schadsoftware verseucht haben soll. In einer Ende vergangener Woche veröffentlichten Stellungnahme weist die NSA auch den Vorwurf zurück, dass “Social-Media- und andere Websites” nachgeahmt worden sein, um Malware zu verbreiten.

Mit ihrer Erklärung reagierte die NSA auf vom ehemaligen Guardian-Journalisten Glenn Greenwald enthüllte Details über System mit dem Code-Namen Turbine. Das soll angeblich Millionen von Computern automatisch angreifen können. Die NSA bestreitet die Existenz dieses Systems nicht, doch sei es nicht für massenhafte Angriffe benutzt worden.

In dem Bericht heißt es, Turbine sei etwa 2009 erstmals aufgetaucht. Ziel sei es gewesen, die Einschränkungen menschlicher Hacking-Angriffe zu umgehen, die nur für ausgewählte Ziele, nicht aber für groß angelegte Aktionen geeignet seien. Turbine sei ein Teil der NSA-Abteilung “Office of Tailored Access Operation”, kurz TAO, und damit der Hacker-Elite des Geheimdiensts.

Allerdings warf The Intercept der NSA auch nicht direkt vor, sie habe das System tatsächlich eingesetzt, um Millionen von Computern zu infizieren. Laut früheren Berichten, die sich ebenfalls auf Unterlagen aus dem Fundus des Whistleblowers Edward Snowden berufen, soll die NSA bisher lediglich zwischen 85.000 und 100.000 Rechner weltweit mit Malware-Implantaten versehen haben.

“Die Befugnisse der NSA verlangen, dass die nachrichtendienstlichen Tätigkeiten im Ausland gültige nationale Sicherheitsanforderungen unterstützen, die legitimen Datenschutzinteressen aller Menschen schützen und so maßgeschneidert sind wie möglich”, heißt es weiter in der Erklärung der NSA. “Die NSA nutzt ihre technischen Möglichkeiten nicht, um Websites von US-Unternehmen nachzuahmen. Die NSA geht auch nicht ohne rechtliche Befugnisse gegen Nutzer weltweiter Internetdienste vor. Berichte über wahllose Angriffe auf Computer sind einfach falsch.”

Anfang der Woche hatte der künftige NSA-Chef Michael Rogers in einem Brief an den US-Senat den Umgang des Geheimdiensts mit Zero-Day-Lücken in Software und Geräten dargelegt, die ein möglicher Ansatzpunkt sind, um gezielt die Kontrolle über Computer zu übernehmen. Demnach werden Schwachstellen standardmäßig an die Hersteller weitergeleitet. In Ausnahmefällen werden sie aber auch zu Spionagezwecken eingesetzt. 2013 soll die NSA sogar bis zu 25 Millionen Dollar für Zero-Day-Lücken ausgegeben haben. Unter anderem erwarb sie sie vom französischen Sicherheitsunternehmen Vupen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de