Categories: Politik

NSA legt Sicherheitslecks offen

Zum ersten Mal macht die National Security Agency Angaben zu Sicherheitslecks, die durch den US-Auslandsgeheimdienst entdeckt wurden. Wie Reuters berichtet, soll der Geheimdienst 91 Prozent der Anfälligkeiten gegenüber den jeweiligen Softwareherstellern offen legen. Die Zahl bezieht sich jedoch nur auf die “gravierendsten” Schwachstellen. Die restlichen 9 Prozent wurden dem Bericht zufolge schon vor der Offenlegung durch die NSA vom Anbieter behoben oder aus Gründen der “nationalen Sicherheit” geheim gehalten.

“Es gibt legitime Gründe für und gegen die Offenlegung von Anfälligkeiten. Der Kompromiss zwischen einer sofortigen Veröffentlichung und dem Zurückhalten von Wissen über einige Schwachstellen für einen begrenzten Zeitraum kann erhebliche Konsequenzen haben”, heißt es auf der NSA-Website. Die Bekanntmachung einer Schwachstelle könne dafür verantwortlich sein, dass die NSA möglicherweise wichtige Daten nicht sammeln kann, die terroristische Angriffe oder den Diebstahl von geistigem Eigentum verhindern.

Reuters selbst bezeichnet diese Zahlen jedoch als “irreführend”. Mehrere ehemalige und gegenwärtige US-Regierungsvertreter hätten erklärt, die NSA nutze die Sicherheitslücken oftmals zuerst für eigene Zwecke wie Cyberangriffe. Erst danach informiere sie die Technologieanbieter, damit diese die Fehler beheben und Updates an ihre Kunden ausliefern könnten.

Bereits im März 2014 war bekannt geworden, dass die NSA Details zu Zero-Day-Lücken zurückhält. In einer schriftlichen Stellungnahme an den US-Senat bestätigte NSA-Chef Michael S. Rogers, dass der Geheimdienst selbst entscheidet, ob und wann er den Anbieter eines betroffenen Produkts informiert. Den Umgang seiner Behörden mit Zero-Day-Lücken bezeichnete er darin als “ausgereift und effizient”. Er räumte aber auch ein, dass das Zurückhalten von Informationen das Absichern von Systemen erschwere. “Wenn die NSA sich entscheidet, eine Anfälligkeit zum Zwecke der Auslandsspionage zurückzuhalten, dann ist das Verfahren zur Minimierung der Risiken für die USA und ihre Verbündeten komplexer”, sagte Rogers.

Die Enthüllungen des Whistleblowers Edward Snowden hatten Reuters zufolge einen erheblichen Einfluss auf das Verfahren, mit dem die US-Regierung Sicherheitslücken bewertet und über ihre Geheimhaltung oder Offenlegung entscheidet. Die Details zu dem Verfahren seien zwar weiterhin geheim, Michael Daniel, Cybersecurity Coordinator von US-Präsident Barack Obama, habe die Rolle des für den Heimatschutz zuständigen Department of Homeland Security allerdings gestärkt.

Ein Beispiel für zurückgehaltene Sicherheitslücken sind die Schwachstellen, die die mutmaßlich von der NSA und dem israelischen Geheimdienst entwickelte Malware Stuxnet benutzt hat. Die Lücken in Software von Microsoft und Siemens ermöglichten es den Geheimdiensten, das Urananreicherungsprogramm des Iran zu sabotieren.

Nicht nur Geheimdienste halten Informationen über neue Sicherheitslücken zurück. Das französische Sicherheitsunternehmen Zerodium zahlte beispielsweise in der vergangenen Woche einer Hackergruppe ein Preisgeld von einer Million Dollar für einen Remote Exploit in Apples jüngstem Mobilbetriebssystem iOS 9. Die Details wird es nun gegen Bezahlung seinen Kunden zur Verfügung stellen, zu denen führende Unternehmen aus dem Verteidigungs-, Technologie und Finanzsektor sowie Regierungsorganisationen zählen sollen.

Zero-Day-Exploits für Apple-Geräte sind für manche Unternehmen oder Regierungsbehörden zweifelsohne von hohem Wert. Apple und mit Android 6.0 auch Google sichern ihre Smartphones inzwischen standardmäßig durch Verschlüsselung ab. Daher müssen Ermittlungsbehörden und Geheimdienste auf noch unbekannte Schwachstellen zurückgreifen, um die vorhandenen Sicherheitsvorkehrungen zu umgehen und Geräte zu überwachen. Der Verkauf solcher Lücken dürfte für Zerodium ein lukratives Geschäft sein.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Wipro führt erweitertes Beratungsangebot in Europa ein

Jüngste Akquisitionen im Beratungsbereich ermöglichen eine End-to-End-Cybersecurity-Lösung für Unternehmen.

16 Stunden ago

Google warnt vor neuer kommerzieller Spyware

Heliconia nimmt Browser und Windows Defender ins Visier. Das Exploitation Framework setzt auf in den…

22 Stunden ago

Weihnachtszeit, Shoppingzeit: Betrüger haben Hochkonjunktur

Betrüger setzen bei Routine und Bekanntem an – für Ungeübte kaum zu erkennen. Sophos gibt…

2 Tagen ago

Silicon DE Podcast im Fokus: Cyber Protection

Im Gespräch mit Carolina Heyder erklärt Candid Wüest, VP of Cyber Protection Research Acronis, wie…

2 Tagen ago

Externes Schlüsselmanagement für Kundendaten in der AWS Cloud

T-Systems erstellt, verwaltet und speichert die Schlüssel in den Rechenzentren der Deutschen Telekom innerhalb der…

2 Tagen ago

Lieferketten in der Cloud verwalten

Aktuelles von der AWS re:Invent 2022: AWS Supply Chain Service verringert Lieferketten-Risiken.

2 Tagen ago