NSA hackt Netzwerke auch ohne Zero-Day-Lücken

Der US-Auslandsgeheimdienst National Security Agency (NSA) ist nach eigenen Angaben nicht auf Zero-Day-Lücken angewiesen, um einzelne Computer mit Malware zu infizieren und in Netzwerke einzudringen. Das hat Rob Joyce, Chef der Hacking-Abteilung Tailored Access Operations (TAO), Ende vergangener Woche auf der Sicherheitskonferenz Usenix Enigma in San Francisco erklärt, wie Motherboard berichtet. Ihm zufolge spielen Sicherheitslücken, für die es noch keine Patches gibt, bei staatlichen Hackerangriffen eher eine untergeordnete Rolle.

„Viele Menschen nehmen scheinbar an, dass staatliche Hackerangriffe mit Zero Days betrieben werden. Man hat einen Generalschlüssel, schließt die Tür auf und schon ist man drin. So ist das nicht“, zitiert ihn Motherboard. Stattdessen seien Ausdauer und Konzentration auf das Ziel gefragt. „Es gibt so viele weitere Vektoren, die leichter, weniger riskant und oft auch produktiver sind als dieser Weg.“

Als ein Beispiel für einen möglichen Angriffspunkt nannte Joyce unzureichend geschützte Geräte, die auch für private Zwecke genutzt werden. „Warum sollte man sich um professionell verwaltete Netzwerke bemühen, wenn die Leute ihre Laptops mit nach Hause nehmen und dort deren Kinder am Abend zuvor Spiele per Steam heruntergeladen haben?“

Der Sicherheitsexperte Bruce Schneier weist laut zudem darauf hin, dass Zero-Day-Lücken nur eine kurze Lebenserwartung haben. „Wenn sie entdeckt werden, werden sie entweder benutzt oder öffentlich gemacht, und dann werden sie geschlossen. Wenn man sie hortet, dann werden sie von jemand anders gefunden. Benutze sie oder verliere sie.“

Anfang November 2015 hatte die NSA die Nutzung von Zero-Day-Lücken für Spionagezwecke eingeräumt. Nach eigenen Angaben legt sie allerdings 91 Prozent der Anfälligkeiten gegenüber den jeweiligen Softwareherstellern offen. Die restlichen 9 Prozent wurden schon vor der Offenlegung durch die NSA vom Anbieter behoben oder aus Gründen der „nationalen Sicherheit“ geheim gehalten.

Nach Angaben von ehemaligen und gegenwärtigen US-Regierungsvertretern soll die NSA Sicherheitslücken oftmals zuerst für eigene Zwecke wie Cyberangriffe nutzen. Erst danach soll sie Technologieanbieter informieren, damit sie diese Fehler beheben und Updates an ihre Kunden ausliefern können. Laut Motherboard entscheidet die NSA selbst von Fall zu Fall, ob sie eine Zero-Day-Lücke ausnutzt oder einem Hersteller meldet.

Trotzdem beharre Joyce darauf, Zero-Day-Lücken seien nicht die wichtigste Waffe im Hacking-Arsenal des Geheimdiensts. „Es gibt einen Grund, warum das Advanced Persistent Thread (Deutsch: fortschrittliche anhaltende Bedrohung) genannt wird, weil wir stöbern und stöbern und warten und warten.“ Manchmal müsse man nur darauf warten, dass ein Unternehmen Support per Fernzugriff erhalte. „Wir suchen nach einer Öffnung und der Gelegenheit, unsere Mission abzuschließen.“

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.