Categories: SicherheitUnternehmen

Nach Heartbleed: USA hat Informationen zu Sicherheitslücken zurückgehalten

Nach Heartbleed hat die US-Regierung eingestanden, Zero-Day-Lücken geheim zu halten und sie zur Spionage zu verwenden. Allerdings bestreitet ein hochrangiger Beamter des Weißen Hauses in einem Blog, dass die Regierung frühzeitig des schwerwiegenden Heartbleed-Bugs wusste. Die Erklärung stammt von Michael Daniel, Special Assistant des Präsidenten und Cybersecurity Coordinator.

Daniel betonte nochmals, dass sich die Regierung ernsthaft für ein offenes, sicheres und verlässliche Internet einsetze. “In den meisten Fällen ist es klar im nationalen Interesse, eine neu entdeckte Sicherheitslücke zu enthüllen”, schreibt er. “Das war bisher so und wird auch weiterhin so gehandhabt.” Immerhin müssen sich alle im täglichen Leben auf das Internet und verbundene Systeme verlassen können. Ohne das Netz funktioniere die Wirtschaft nicht mehr. Aus diesem Grund seien die USA wie alle anderen auf die Sicherheit dieser Systeme angewiesen.

“Einen riesigen Vorrat noch nicht öffentlich bekannter Schwachstellen aufzubauen, während das Internet angreifbar ist und die Menschen in Amerika schutzlos sind, wäre nicht im Interesse unserer nationalen Sicherheit”, schreibt Daniel weiter. “Aber das heißt nicht, dass wir völlig darauf verzichten sollten, dieses Werkzeug zu nutzen, um nachrichtendienstliche Erkenntnisse zu gewinnen und unser Land langfristig besser zu schützen.”

Für und gegen die Veröffentlichung von Schwachstellen gebe es gute Gründe, erklärte das Weiße Haus. Man müsse zwischen einer sofortigen Enthüllung und einem zeitlich begrenzten Zurückhalten genau abwägen. Eine falsche Entscheidung könne schwerwiegende Folgen nach sich ziehen. Durch die Offenlegung einer Sicherheitslücke könne beispielsweise die Chance entgehen, “entscheidende Informationen zu sammeln, um einen terroristischen Angriff oder den Diebstahl von geistigem Eigentum unseres Landes zu verhindern”.

Für die Entscheidungsfindung der Behörden habe die Regierung daher einige Grundsätze entwickelt. Zudem treffe eine hohe Ebene in einem strikten Verfahren die Entscheidung. Schnell anwendbare und unumstößliche Regeln gebe es dabei zwar nicht, aber einige wichtige Fragen müssten beantworten werden: Entsteht eine Gefährdung für den Kern der Internet-Infrastruktur? Sind weitere kritische Systeme, die US-Wirtschaft oder die nationale Sicherheit betroffen? Wie hoch sind die Risiken einer nicht behobenen Lücke? Wie viel Schaden könnten ein gegnerisches Land oder kriminelle Gruppen damit anrichten? Wie dringend werden nachrichtendienstliche Informationen benötigt, die damit zu gewinnen wären? Wie wahrscheinlich ist es, dass andere auf die Schwachstelle stoßen?

Das Weiße Haus geht mit der Erklärung in die Offensive, um das verlorene Vertrauen der Öffentlichkeit wieder herzustellen. Wie die Washington Post berichtete, gab der US-Auslandsgeheimdienst NSA im Jahr 2013 mindestens 25 Millionen Dollar für Zero-Day-Lücken aus. So kaufte er Information über Zero-Day-Lücken von der französischen Sicherheitsfirma Vupen. Zudem erwarb es von dem Unternehmen die Software, um die Schwachstellen zu nutzen.

Wie aus Unterlagen von Whistleblower Edward Snowden hervor geht, umgeht die NSA zudem seit längerer Zeit gängige Verschlüsselungsmethoden, indem sie Schlüssel von Privatfirmen stiehlt, gemeinsam mit Anbietern Hintertüren einrichtet und heimlich Schwächen in Verschlüsselungsstandards einführt. Aus diesem Grund werfen Sicherheitsexperten dem Geheimdienst die gezielte Unterminierung der Internet-Sicherheit vor.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

View Comments

  • ...und wäre Heartbleed nicht "öffendlich" gemacht worden würden diese Penner in Amiland grad so weitermachen.
    Wer macht schon eine Quelle dicht aus der fürstlich gesaugt werden kann. Scheinheiliges Pack!

Recent Posts

EU steht vor Schicksalsfrage beim Datenschutz

Mit einer neuen Initiative versuchen die USA bereits zum dritten Mal ein Datenaustauschabkommen mit der…

49 Minuten ago

Credential-Stuffing-Angriff auf PayPal verunsichert

Wie sicher sind mein Geld und meine Daten in der digitalen Welt, wenn so etwas…

1 Stunde ago

Kommentar: Ransomware-Gruppen unter Druck

Immer weniger Unternehmen können und wollen das geforderte Lösegeld der Ransomware-Angreifer bezahlen, sagt Chris Dobrec…

2 Stunden ago

Marc Fischer leitet Deutschland-Geschäft von HPE

Er folgt ab 1.2.2023 auf Johannes Koch, der die Leitung der neu geschaffenen HPE-Region Zentraleuropa…

2 Stunden ago

Junge Beschäftigte glauben: ChatGPT verdoppelt Produktivität

ChatGPT-Studie zeigt: 26 Prozent der Arbeitgeber im IT-Sektor planen, ihre Teams zu verkleinern.

3 Stunden ago

Ein Interview mit Chat GPT zu KI und Cybersecurity

Chat GPT rät: "Notfallpläne sollten vorbereitet sein und die Mitarbeiter sollten geschult werden, um auf…

2 Tagen ago