Bericht: NSA darf Informationen zu Sicherheitslücken zurückhalten

Die National Security Agency (NSA) darf einem Bericht der New York Times zufolge mit Erlaubnis von US-Präsident Barack Obama Details zu von ihr entdeckten Sicherheitslücken zurückhalten. Der Präsident habe zwar entschieden, dass der Auslandsgeheimdienst die meisten Schwachstellen offenlegen muss, es gebe aber ein Schlupfloch in seiner Geheimdienstreform, das die Nutzung von Anfälligkeiten zu Überwachungszwecken erlaube.

Die Anweisung gab Obama demnach nach der Prüfung eines von ihm beauftragten Expertenberichts zur Reform der US-Geheimdienste. Sicherheitslücken dürfen laut New York Times immer dann verschwiegen werden, wenn sie zur Wahrung der nationalen Sicherheit oder zur Strafverfolgung verwendet werden. Als Quelle nennt die Zeitung mehrere hochrangige Regierungsvertreter.

Bisher war die Entscheidung des Präsidenten zum Umgang mit Schwachstellen in Software und Hardware nicht öffentlich bekannt. Der Nationale Geheimdienstkoordinator hatte sie erstmals am Freitag in seinem Dementi zum Heartbleed-Bug angesprochen. Darin werden Aussagen von Quellen von Bloomberg bestritten, wonach die NSA schon länger von der Anfälligkeit in OpenSSL wusste und sie auch für ihre Zwecke genutzt haben soll.

Obama habe mit seiner Geheimdienstreform einen neuen Entscheidungsprozess zur Veröffentlichung von Schwachstellen eingeführt, heißt es in der Pressemitteilung. „Außer es gibt eine klare Notwendigkeit in Bezug auf die nationale Sicherheit oder die Strafverfolgung, ist dieses Verfahren auf die verantwortungsvolle Offenlegung solcher Anfälligkeiten ausgerichtet.“

Das Dementi stieß allerdings rundum auf Skepsis. Nach den von Whistleblower Edward Snowden enthüllten Unterlagen umgeht die NSA schon länger gängige Verschlüsselungsmethoden, indem sie Schlüssel von Privatfirmen stiehlt, gemeinsam mit Anbietern Hintertüren einrichtet und heimlich Schwächen in Verschlüsselungsstandards einführt. Nach einem Bericht von Reuters zahlte die NSA Millionen Dollar an den Sicherheitsdienstleister RSA und sorgte so für eine fehlerhafte Implementierung von RSA-Tokens. Nach einem weiteren Snowden-Dokument gab die NSA 2013 mindestens 25 Millionen Dollar für Zero-Day-Lücken aus. Der Geheimdienst musste einräumen, dass er über Informationen zu solchen ungepatchten Schwachstellen verfügt und sie mindestens teilweise zurückhält. Sicherheitsexperten werfen ihr deshalb die gezielte Unterminierung der Internet-Sicherheit vor.

Der Guardian weist zudem in einem am Samstag veröffentlichten Artikel darauf hin, dass die NSA auch dann Vorteile aus der Heartbleed-Lücke ziehen kann, wenn sie erst mit der Öffentlichkeit von dem Fehler erfahren hat. Die NSA sei ab diesem Zeitpunkt in der Lage gewesen, die Master-Schlüssel bestimmter Websites und Internetdienste zu stehlen, um damit bereits gespeicherte Daten zu entschlüsseln. Verschlüsselte Daten halte der Geheimdienst zudem unbegrenzt vor, in der Hoffnung, in der Zukunft eine Möglichkeit zur Entschlüsselung zu finden. Das könnte der NSA nun zumindest in einigen Fällen mithilfe des Heartbleed-Bugs gelungen sein.

[mit Material von Steven Musil, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de