NSA gibt erstmals Informationen zu Sicherheitslücken preis
Der US-Auslandsgeheimdienst informiert die Softwarehersteller über 91 Prozent der von ihm gefundenen “gravierendsten” Sicherheitslücken. Von den restlichen 9 Prozent wurden einige schon vor der Offenlegung durch die NSA vom Anbieter behoben. Ein weiterer Teil wird von der NSA weiterhin geheim gehalten.
Die National Security Agency hat erstmals Informationen zu von ihr gefundenen Zero-Day-Lücken preisgegeben. Der US-Auslandsgeheimdienst informiert über 91 Prozent der von ihm gefundenen Schwachstellen den jeweils betroffenen Hersteller. Die restlichen 9 Prozent werden einem Bericht von Reuters weiterhin geheim gehalten oder wurden vom Anbieter bereits behoben. Die Werte beziehen sich allerdings nur auf die “gravierendsten” Schwachstellen – decken also bei weitem nicht alle ab.
Durch die Offenlegung einer Schwachstelle entgehe der NSA möglicherweise eine Gelegenheit, wichtige Daten zu sammeln, die terroristische Angriffe oder den Diebstahl von geistigem Eigentum verhindern, erklärt der Geheimdienst auf seiner Website.
Laut Reuters sind die nun vorgelegten Zahlen jedoch “irreführend”. Mehrere ehemalige und gegenwärtige US-Regierungsvertreter hätten erklärt, die NSA nutze Sicherheitslücken in der Regel zuerst für eigene Zwecke aus, bevor sie die Anbieter informiere.
Im März 2014 hatte NSA-Chef Michael S. Rogers eingeräumt, dass der Geheimdienst Details zu Zero-Day-Lücken zurückhält. In einer schriftlichen Stellungnahme bestätigte er damals dem US-Senat, dass der Geheimdienst selbst entscheide, ob und wann er Anbieter eines betroffenen Produkts informiere.
Den Umgang seiner Behörden mit Zero-Day-Lücken bezeichnete Rogers damals als “ausgereift und effizient”. Er räumte aber auch ein: “Wenn die NSA sich entscheidet, eine Anfälligkeit zum Zwecke der Auslandsspionage zurückzuhalten, dann ist das Verfahren zur Minimierung der Risiken für die USA und ihre Verbündeten komplexer.”
Außerdem hält es Rogers für die Arbeit seiner Behörde für wichtig, dass Hersteller ihr ab Werk Zugriff auf ihre Geräte ermöglichen. Damit keine Behörde alleine und ohne Zustimmung einer anderen auf private Daten zugreifen kann, schlägt er vor, die Schlüssel auf mehrere Parteien aufzuteilen. Das Konzept bezeichnet Rogers als “Vordertür mit Schlössern”.
Es wird allerdings von US-Technologiekonzernen überwiegend abgelehnt. Im Mai legten sie ein von über 140 Firmen unterzeichnetes Dokument vor, in dem sie sich durch die vom Geheimdienst geforderte Möglichkeiten aussprachen. Dadurch werde die Sicherheit von Smartphones und anderen Kommunikationsgeräten erheblich gefährdet. Unternehmen, gemeinnützige Organisationen sowie Computerexperten erwarten durch die geforderten Hintertüren und die geschwächte Verschlüsselung überdies einen beträchtlichen Schaden für die US-amerikanische Wirtschaft.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.