Nach Heartbleed: USA räumen Zurückhalten von Sicherheitslücken ein

Die US-Regierung beteuert ihr Engagement für ein offenes und sicheres Internet. Meist sei es im nationalen Interesse, eine neu entdeckte Sicherheitslücke zu enthüllen. Die Geheimdienste könnten aber nicht völlig auf ein geeignetes Werkzeug verzichten, um "einen terroristischen Angriff oder den Diebstahl von geistigem Eigentum zu verhindern".

Die US-Regierung hat nach Heartbleed zum Vorwurf Stellung genommen, Zero-Day-Lücken geheimzuhalten und für Spionagezwecke zu nutzen. In einem Blogeintrag räumt ein hochrangiger Beamter des Weißen Hauses das Zurückhalten einzelner Schwachstellen ein, bestreitet aber erneut eine frühe Kenntnis des schwerwiegenden Heartbleed-Bugs. Die Erklärung kommt von Michael Daniel, Special Assistant des Präsidenten und Cybersecurity Coordinator.

(Bild: Codenomicon / CNET)

Daniel beteuert, die Regierung sei ernsthaft für ein offenes, sicheres und verlässliches Internet engagiert. „In den meisten Fällen ist es klar im nationalen Interesse, eine neu entdeckte Sicherheitslücke zu enthüllen“, schreibt er. „Das war bisher so und wird auch weiterhin so gehandhabt.“ Schließlich seien alle im täglichen Leben auf das Internet und verbundene Systeme angewiesen. Die Wirtschaft könnte nicht mehr ohne das Netz funktionieren – die USA seien mindestens so sehr auf die Sicherheit dieser Systeme angewiesen wie alle anderen.

„Einen riesigen Vorrat noch nicht öffentlich bekannter Schwachstellen aufzubauen, während das Internet angreifbar ist und die Menschen in Amerika schutzlos sind, wäre nicht im Interesse unserer nationalen Sicherheit“, schreibt Daniel weiter. „Aber das heißt nicht, dass wir völlig darauf verzichten sollten, dieses Werkzeug zu nutzen, um nachrichtendienstliche Erkenntnisse zu gewinnen und unser Land langfristig besser zu schützen.“

Dem Weißen Haus zufolge gibt es gute Gründe für und gegen die Entscheidung zur Enthüllung von Schwachstellen, und die Abwägung zwischen sofortiger Enthüllung und dem Zurückhalten einiger Schwachstellen für eine begrenzte Zeit könne schwerwiegende Folgen haben. Durch die Offenlegung einer Sicherheitslücke könne die Chance entgehen, „entscheidende Informationen zu sammeln, um einen terroristischen Angriff oder den Diebstahl von geistigem Eigentum unseres Landes zu verhindern“.

Eine solche Abwägung falle nicht leicht, daher seien Grundsätze für die Entscheidungsfindung der Behörden entwickelt worden. Die Entscheidung werde zudem in einem strikten Verfahren auf hoher Ebene und über Behörden hinweg getroffen. Dabei gebe es zwar keine unumstößlichen und schnell anwendbaren Regeln, aber es seien wichtige Fragen wie diese zu beantworten: Entsteht eine Gefährdung für den Kern der Internet-Infrastruktur? Sind weitere kritische Systeme, die US-Wirtschaft oder die nationale Sicherheit betroffen? Wie hoch sind die Risiken einer nicht behobenen Lücke? Wie viel Schaden könnten ein gegnerisches Land oder kriminelle Gruppen damit anrichten? Wie dringend werden nachrichtendienstliche Informationen benötigt, die damit zu gewinnen wären? Wie wahrscheinlich ist es, dass andere auf die Schwachstelle stoßen?

Die Erklärung des Weißen Hauses ist ein offensiver Versuch, verlorenes Vertrauen der Öffentlichkeit zurückzugewinnen. Nach einem Bericht der Washington Post gab der US-Auslandsgeheimdienst NSA 2013 mindestens 25 Millionen Dollar für Zero-Day-Lücken aus. Unter anderem kaufte er von der französischen Sicherheitsfirma Vupen Informationen über Zero-Day-Lücken und die Software, um sie zu benutzen. Nach von Whistleblower Edward Snowden enthüllten Unterlagen umgeht die National Security Agency außerdem schon länger gängige Verschlüsselungsmethoden, indem sie Schlüssel von Privatfirmen stiehlt, gemeinsam mit Anbietern Hintertüren einrichtet und heimlich Schwächen in Verschlüsselungsstandards einführt. Sicherheitsexperten werfen ihr deshalb die gezielte Unterminierung der Internet-Sicherheit vor.

[mit Material von Dara Kerr, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: National Security Agency, Politik, Secure-IT, Überwachung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Nach Heartbleed: USA räumen Zurückhalten von Sicherheitslücken ein

Kommentar hinzufügen
  • Am 29. April 2014 um 21:41 von C

    Die US-Regierung kauft über Mittelsmänner Zero-Day Lücken auf. Es werden Summen von bis zu 250 T-US-$ je Einzel-Fall genannt. Ein regelrechter Schwarzmarkt floriert hierzu.
    Diese Lücken werden dann zu Spionage-Zwecken eingesetzt. Alles unter dem Deck-Mantel der Terror-Bekämpfung.

    Es wird Zeit als User (und Käufer) sich gegen diese illegalen Machenschaften zu wehren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *