Bericht: NSA legt mehr als 90 Prozent ihrer Zero-Day-Lücken offen

Die National Security Agency hat erstmals Angaben zu den von ihr gefundenen Zero-Day-Lücken gemacht. Wie Reuters berichtet, legt der US-Auslandsgeheimdienst 91 Prozent der Anfälligkeiten gegenüber den jeweiligen Softwareherstellern offen. Die Zahl bezieht sich jedoch nur auf die „gravierendsten“ Schwachstellen. Die restlichen 9 Prozent wurden dem Bericht zufolge schon vor der Offenlegung durch die NSA vom Anbieter behoben oder aus Gründen der „nationalen Sicherheit“ geheim gehalten.

„Es gibt legitime Gründe für und gegen die Offenlegung von Anfälligkeiten. Der Kompromiss zwischen einer sofortigen Veröffentlichung und dem Zurückhalten von Wissen über einige Schwachstellen für einen begrenzten Zeitraum kann erhebliche Konsequenzen haben“, heißt es auf der NSA-Website. Durch die Offenlegung einer Schwachstelle entgehe der NSA möglicherweise eine Gelegenheit, wichtige Daten zu sammeln, die terroristische Angriffe oder den Diebstahl von geistigem Eigentum verhindern.

Reuters selbst bezeichnet diese Zahlen jedoch als „irreführend“. Mehrere ehemalige und gegenwärtige US-Regierungsvertreter hätten erklärt, die NSA nutze die Sicherheitslücken oftmals zuerst für eigene Zwecke wie Cyberangriffe. Erst danach informiere sie die Technologieanbieter, damit diese die Fehler beheben und Updates an ihre Kunden ausliefern könnten.

Bereits im März 2014 war bekannt geworden, dass die NSA Details zu Zero-Day-Lücken zurückhält. In einer schriftlichen Stellungnahme an den US-Senat bestätigte NSA-Chef Michael S. Rogers, dass der Geheimdienst selbst entscheidet, ob und wann er den Anbieter eines betroffenen Produkts informiert. Den Umgang seiner Behörden mit Zero-Day-Lücken bezeichnete er darin als „ausgereift und effizient“. Er räumte aber auch ein, dass das Zurückhalten von Informationen das Absichern von Systemen erschwere. „Wenn die NSA sich entscheidet, eine Anfälligkeit zum Zwecke der Auslandsspionage zurückzuhalten, dann ist das Verfahren zur Minimierung der Risiken für die USA und ihre Verbündeten komplexer“, sagte Rogers.

Die Enthüllungen des Whistleblowers Edward Snowden hatten Reuters zufolge einen erheblichen Einfluss auf das Verfahren, mit dem die US-Regierung Sicherheitslücken bewertet und über ihre Geheimhaltung oder Offenlegung entscheidet. Die Details zu dem Verfahren seien zwar weiterhin geheim, Michael Daniel, Cybersecurity Coordinator von US-Präsident Barack Obama, habe die Rolle des für den Heimatschutz zuständigen Department of Homeland Security allerdings gestärkt.

Ein Beispiel für zurückgehaltene Sicherheitslücken sind die Schwachstellen, die die mutmaßlich von der NSA und dem israelischen Geheimdienst entwickelte Malware Stuxnet benutzt hat. Die Lücken in Software von Microsoft und Siemens ermöglichten es den Geheimdiensten, das Urananreicherungsprogramm des Iran zu sabotieren.

ANZEIGE

Die Bedeutung von Windows 10 für das moderne Unternehmen

Mit Windows 10 beginnt eine ganz neue Ära des Enterprise Computing. In Windows 10 werden bisher getrennte Betriebssystemversionen für die traditionellen Windows-PCs, Tablets und Smartphones auf einer Plattform zusammengeführt und von einem EMM-Anbieter verwaltet.

Nicht nur Geheimdienste halten Informationen über neue Sicherheitslücken zurück. Das französische Sicherheitsunternehmen Zerodium zahlte beispielsweise in der vergangenen Woche einer Hackergruppe ein Preisgeld von einer Million Dollar für einen Remote Exploit in Apples jüngstem Mobilbetriebssystem iOS 9. Die Details wird es nun gegen Bezahlung seinen Kunden zur Verfügung stellen, zu denen führende Unternehmen aus dem Verteidigungs-, Technologie und Finanzsektor sowie Regierungsorganisationen zählen sollen.

Zero-Day-Exploits für Apple-Geräte sind für manche Unternehmen oder Regierungsbehörden zweifelsohne von hohem Wert. Apple und mit Android 6.0 auch Google sichern ihre Smartphones inzwischen standardmäßig durch Verschlüsselung ab. Daher müssen Ermittlungsbehörden und Geheimdienste auf noch unbekannte Schwachstellen zurückgreifen, um die vorhandenen Sicherheitsvorkehrungen zu umgehen und Geräte zu überwachen. Der Verkauf solcher Lücken dürfte für Zerodium ein lukratives Geschäft sein.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

15 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

19 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

19 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

20 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

20 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

22 Stunden ago