NSA macht erstmals Angaben zu den von ihr gefundenen Zero-Day-Lücken

Die National Security Agency legt mehr als 90 Prozent ihrer Zero-Day-Lücken offen, wobei sich diese Zahl nur auf die „gravierendsten“ Schwachstellen bezieht. Der Geheimdienst hält einige Anfälligkeiten aus Gründen der „nationalen Sicherheit“ auch dauerhaft geheim.

Der US-Auslandsgeheimdienst NSA legt 91 Prozent der Anfälligkeiten gegenüber den jeweiligen Softwareherstellern offen, wie Reuters berichtet. Die Zahl bezieht sich jedoch nur auf die „gravierendsten“ Schwachstellen. Dem Bericht zufolge wurden die restlichen 9 Prozent wurden schon vor der Offenlegung durch die National Security Agency vom Anbieter behoben oder aus Gründen der „nationalen Sicherheit“ geheim gehalten.

NSA-Auge (Bild: ZDNet.de

NSA-Auge (Bild: ZDNet.de

Auf der NSA-Website heißt es: „Es gibt legitime Gründe für und gegen die Offenlegung von Anfälligkeiten. Der Kompromiss zwischen einer sofortigen Veröffentlichung und dem Zurückhalten von Wissen über einige Schwachstellen für einen begrenzten Zeitraum kann erhebliche Konsequenzen haben“. Durch die Offenlegung einer Schwachstelle entgehe der NSA möglicherweise eine Gelegenheit, wichtige Daten zu sammeln, die terroristische Angriffe oder den Diebstahl von geistigem Eigentum verhindern.

Reuters selbst bezeichnet diese Zahlen jedoch als „irreführend“. Mehrere ehemalige und gegenwärtige US-Regierungsvertreter hätten erklärt, die NSA nutze die Sicherheitslücken oftmals zuerst für eigene Zwecke wie Cyberangriffe. Erst danach informiere sie die Technologieanbieter, damit diese die Fehler beheben und Updates an ihre Kunden ausliefern könnten.

Dass die NSA Details zu Zero-Day-Lücken zurückhält, war bereits im März 2014 bekannt geworden. In einer schriftlichen Stellungnahme an den US-Senat bestätigte NSA-Chef Michael S. Rogers, dass der Geheimdienst selbst entscheidet, ob und wann er den Anbieter eines betroffenen Produkts informiert. Den Umgang seiner Behörden mit Zero-Day-Lücken bezeichnete er darin als „ausgereift und effizient“. Er räumte aber auch ein, dass das Zurückhalten von Informationen das Absichern von Systemen erschwere. „Wenn die NSA sich entscheidet, eine Anfälligkeit zum Zwecke der Auslandsspionage zurückzuhalten, dann ist das Verfahren zur Minimierung der Risiken für die USA und ihre Verbündeten komplexer“, sagte Rogers.

Reuters zufolge hatten die Enthüllungen des Whistleblowers Edward Snowden einen erheblichen Einfluss auf das Verfahren, mit dem die US-Regierung Sicherheitslücken bewertet und über ihre Geheimhaltung oder Offenlegung entscheidet. Die Details zu dem Verfahren seien zwar weiterhin geheim, Michael Daniel, Cybersecurity Coordinator von US-Präsident Barack Obama, habe die Rolle des für den Heimatschutz zuständigen Department of Homeland Security allerdings gestärkt.

Die Schwachstellen, die die mutmaßlich von der NSA und dem israelischen Geheimdienst entwickelte Malware Stuxnet benutzt hat, sind ein Beispiel für zurückgehaltene Sicherheitslücken. Die Lücken in Software von Microsoft und Siemens ermöglichten es den Geheimdiensten, das Urananreicherungsprogramm des Iran zu sabotieren.

Nicht nur Geheimdienste halten Informationen über neue Sicherheitslücken zurück. Das französische Sicherheitsunternehmen Zerodium zahlte beispielsweise in der vergangenen Woche einer Hackergruppe ein Preisgeld von einer Million Dollar für einen Remote Exploit in Apples jüngstem Mobilbetriebssystem iOS 9. Die Details wird es nun gegen Bezahlung seinen Kunden zur Verfügung stellen, zu denen führende Unternehmen aus dem Verteidigungs-, Technologie und Finanzsektor sowie Regierungsorganisationen zählen sollen.

Zero-Day-Exploits für Apple-Geräte sind für manche Unternehmen oder Regierungsbehörden zweifelsohne von hohem Wert. Apple und mit Android 6.0 auch Google sichern ihre Smartphones inzwischen standardmäßig durch Verschlüsselung ab. Daher müssen Ermittlungsbehörden und Geheimdienste auf noch unbekannte Schwachstellen zurückgreifen, um die vorhandenen Sicherheitsvorkehrungen zu umgehen und Geräte zu überwachen. Der Verkauf solcher Lücken dürfte für Zerodium ein lukratives Geschäft sein.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu NSA macht erstmals Angaben zu den von ihr gefundenen Zero-Day-Lücken

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *