Digital
NSA, NSA Areal, Hauptquartier, Gebäude, Edward Snowden, Spion

Das NSA-Hauptquartier. Bild: Keystone

Krieg findet im Netz statt

Geheimdienst-Beamter vergleicht Heartbleed-Sicherheitslücken mit Atomwaffen

Weiss die NSA von einer Sicherheitslücke, soll sie diese melden. So will es der Präsident. In bestimmten Fällen aber darf der Geheimdienst schweigen – und die Lücke für sich nutzen. Ein Geheimdienst-Beamter vergleicht den Kampf ums Netz mit dem nuklearen Wettrüsten.

14.04.14, 17:36

Ein Artikel von

Die NSA soll laut einem Bericht der Nachrichtenagentur Bloomberg schon lange von der gravierenden Sicherheitslücke Heartbleed gewusst und sie systematisch ausgenutzt haben. Der Geheimdienst bestreitet das.

Hätte die NSA von Heartbleed gewusst, wäre das ein Skandal. Schliesslich hat die Öffentlichkeit erst kürzlich von der bereits zwei Jahre alten Lücke erfahren, Nutzer können sich erst jetzt gegen mögliche Angriffe von Kriminellen absichern.

Das Weisse Haus, die NSA und der US-Sicherheitsrat haben am Freitag sofort dementiert, die Lücke schon vorher gekannt und der Öffentlichkeit verschwiegen zu haben. Die internen Prozesse in solchen Fällen seien überarbeitet worden, als Reaktion auf die von Präsident Barack Obama angekündigten Reformen. Mit den im Januar angekündigten Massnahmen sollen die Befugnisse des Geheimdienstes zumindest ein wenig eingeschränkt werden.

Der Präsident hat etwa entschieden: Wenn die NSA von Sicherheitslücken erfährt, soll sie die Öffentlichkeit davon in Kenntnis setzen, damit das Leck behoben werden kann – zumindest gelte das im Regelfall. Doch wie bereits im Dementi angedeutet, gibt es Ausnahmen: Wenn es der nationalen Sicherheit oder der Verfolgung von Straftaten diene, sehe die Sache anders aus, berichtet auch die «New York Times» unter Berufung auf Beamte.

«Wir schaffen unsere Atomwaffen nicht ab, bevor die Russen es nicht tun»

Anonymer Geheimdienstbeamter

Ein namentlich nicht genannter hochrangiger Geheimdienstbeamter wird im gleichen Artikel deutlicher: «Wir schaffen unsere Atomwaffen nicht ab, bevor die Russen es nicht tun», zitiert die «New York Times» den Mann, «und Sie werden nicht erleben, dass die Chinesen ‹Zero Days› aufgeben werden, nur weil wir das machen.»

Schwachstellen am besten vor der Öffentlichkeit kennen

Mit der so vage gefassten Ausnahmeregelung erlaubt der Präsident dem Geheimdienst folglich, Sicherheitslücken gezielt auszunutzen, um selbst an Daten von Nutzern zu kommen oder offensive Cyber-Operationen durchzuführen. Und durch Schweigen zu riskieren, dass auch Kriminelle diese Schwachstellen ausnutzen, von denen normale Nutzer noch gar nichts wissen.

Insgesamt weiss man bislang wenig über die Empfehlungen des Expertengremiums. Laut der «New York Times» wird der Geheimdienst unter anderem angehalten, keine kommerzielle Verschlüsselungssoftware mehr zu schwächen oder Hintertüren einzubauen. Denn das, so das Gremium, zerstöre das Vertrauen in amerikanische Soft- und Hardware. Gerade im Silicon Valley ist man mittlerweile sehr unglücklich über all die Enthüllungen, denn sie sind schlecht fürs Geschäft. Seit Beginn des Spähskandals hatten verschiedene Experten davor gewarnt, amerikanische Produkte zu nutzen, und auch die amerikanischen Technologiefirmen selbst hatten ihre Regierung gebeten, solche Praktiken zu unterlassen.

Eine weitere Empfehlung betrifft eben die sogenannten «Zero Days», also Programmierfehler und Software-Schwachstellen, die der Öffentlichkeit noch nicht bekannt sind. Wer sie findet, kann früh angreifen (quasi an «Tag 0», also bevor andere von der Lücke erfahren) und sich etwa Zugang zu Rechnern verschaffen – bis die Lücke bekannt und gestopft wird.

Regierung zahlte 25,1 Millionen Dollar für solche Informationen

Das Wissen um solche Schwachstellen ist ein einträgliches Geschäft. Scharf auf den Wissensvorsprung sind Kriminelle ebenso wie die Firmen selbst. Die Informationen sind viel wert: Microsoft zahlt laut «New York Times» bis zu 150'000 Dollar an denjenigen, der solche Schwachstellen findet und das Unternehmen davon informiert, damit die Experten sie reparieren können.

«Ich kann mir nicht vorstellen, dass der Präsident eine Technologie aufgibt, die ihm vielleicht eines Tages eine verdeckte Massnahme ermöglicht, um einen Krieg zu verhindern.»

 Ranghoher Angestellter des Weissen Hauses 

Einer der grössten Mitspieler in diesem Geschäft ist demnach die amerikanische Regierung geworden: Sie gehört laut dem Bericht zu den grössten Entwicklern und Käufern von Informationen über «Zero Days». Im August 2013 zitierte die «Washington Post» aus Snowden-Dokumenten: Die NSA entwickle die meisten ihrer Implantate selbst, «aber sie hat in diesem Jahr 25,1 Millionen Dollar ausgegeben für ‹zusätzliche geheime Käufe von Software-Schwachstellen› von privaten Malware-Verkäufern, einer wachsenden Graumarkt-Industrie, die grösstenteils in Europa ansässig ist».

Ein ranghoher Angestellter des Weissen Hauses wird mit den Worten zitiert: «Ich kann mir nicht vorstellen, dass der Präsident – oder irgendein Präsident – eine Technologie komplett aufgibt, die ihm vielleicht eines Tages eine verdeckte Massnahme ermöglicht, um einen Krieg zu verhindern.» (juh)

Weiterlesen zum Thema NSA

Hol dir die App!

Yanik Freudiger, 23.2.2017
Die App ist vom Auftreten und vom Inhalt her die innovativste auf dem Markt. Sehr erfrischend und absolut top.
Abonniere unseren NewsletterNewsletter-Abo
Themen
0
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
0Alle Kommentare anzeigen

Thriller um geheimes Russen-Hack-Dokument: So kam die NSA Reality Winner auf die Spur

Reality Winner soll ein geheimes Dokument der NSA über russische Hackerangriffe an Journalisten durchgestochen haben – enttarnt wurde sie im Rekordtempo. Nun tobt die Debatte, wer daran Schuld hat.

Am vergangenen Freitag stehen Ermittler des FBI vor dem Haus von Reality Leigh Winner in Augusta, Georgia. Sie beobachten ihre Zielperson, die erst seit wenigen Monaten bei einem Dienstleister des Geheimdiensts NSA arbeitet. Einen Tag später nehmen die Ermittler die 25-jährige Winner fest. Zwei Tage später wird sie angeklagt, unter dem Espionage Act. Sie soll geheime Informationen des Staates weitergegeben haben.

Die Vorwürfe gegen Winner drehen sich um ein als «streng geheim» eingestuftes …

Artikel lesen