Bericht: NSA legt mehr als 90 Prozent ihrer Zero-Day-Lücken offen

Die National Security Agency hat erstmals Angaben zu den von ihr gefundenen Zero-Day-Lücken gemacht. Wie Reuters berichtet, legt der US-Auslandsgeheimdienst 91 Prozent der Anfälligkeiten gegenüber den jeweiligen Softwareherstellern offen. Die Zahl bezieht sich jedoch nur auf die „gravierendsten“ Schwachstellen. Die restlichen 9 Prozent wurden dem Bericht zufolge schon vor der Offenlegung durch die NSA vom Anbieter behoben oder aus Gründen der „nationalen Sicherheit“ geheim gehalten.

„Es gibt legitime Gründe für und gegen die Offenlegung von Anfälligkeiten. Der Kompromiss zwischen einer sofortigen Veröffentlichung und dem Zurückhalten von Wissen über einige Schwachstellen für einen begrenzten Zeitraum kann erhebliche Konsequenzen haben“, heißt es auf der NSA-Website. Durch die Offenlegung einer Schwachstelle entgehe der NSA möglicherweise eine Gelegenheit, wichtige Daten zu sammeln, die terroristische Angriffe oder den Diebstahl von geistigem Eigentum verhindern.

Reuters selbst bezeichnet diese Zahlen jedoch als „irreführend“. Mehrere ehemalige und gegenwärtige US-Regierungsvertreter hätten erklärt, die NSA nutze die Sicherheitslücken oftmals zuerst für eigene Zwecke wie Cyberangriffe. Erst danach informiere sie die Technologieanbieter, damit diese die Fehler beheben und Updates an ihre Kunden ausliefern könnten.

Bereits im März 2014 war bekannt geworden, dass die NSA Details zu Zero-Day-Lücken zurückhält. In einer schriftlichen Stellungnahme an den US-Senat bestätigte NSA-Chef Michael S. Rogers, dass der Geheimdienst selbst entscheidet, ob und wann er den Anbieter eines betroffenen Produkts informiert. Den Umgang seiner Behörden mit Zero-Day-Lücken bezeichnete er darin als „ausgereift und effizient“. Er räumte aber auch ein, dass das Zurückhalten von Informationen das Absichern von Systemen erschwere. „Wenn die NSA sich entscheidet, eine Anfälligkeit zum Zwecke der Auslandsspionage zurückzuhalten, dann ist das Verfahren zur Minimierung der Risiken für die USA und ihre Verbündeten komplexer“, sagte Rogers.

Die Enthüllungen des Whistleblowers Edward Snowden hatten Reuters zufolge einen erheblichen Einfluss auf das Verfahren, mit dem die US-Regierung Sicherheitslücken bewertet und über ihre Geheimhaltung oder Offenlegung entscheidet. Die Details zu dem Verfahren seien zwar weiterhin geheim, Michael Daniel, Cybersecurity Coordinator von US-Präsident Barack Obama, habe die Rolle des für den Heimatschutz zuständigen Department of Homeland Security allerdings gestärkt.

Ein Beispiel für zurückgehaltene Sicherheitslücken sind die Schwachstellen, die die mutmaßlich von der NSA und dem israelischen Geheimdienst entwickelte Malware Stuxnet benutzt hat. Die Lücken in Software von Microsoft und Siemens ermöglichten es den Geheimdiensten, das Urananreicherungsprogramm des Iran zu sabotieren.

Nicht nur Geheimdienste halten Informationen über neue Sicherheitslücken zurück. Das französische Sicherheitsunternehmen Zerodium zahlte beispielsweise in der vergangenen Woche einer Hackergruppe ein Preisgeld von einer Million Dollar für einen Remote Exploit in Apples jüngstem Mobilbetriebssystem iOS 9. Die Details wird es nun gegen Bezahlung seinen Kunden zur Verfügung stellen, zu denen führende Unternehmen aus dem Verteidigungs-, Technologie und Finanzsektor sowie Regierungsorganisationen zählen sollen.

Zero-Day-Exploits für Apple-Geräte sind für manche Unternehmen oder Regierungsbehörden zweifelsohne von hohem Wert. Apple und mit Android 6.0 auch Google sichern ihre Smartphones inzwischen standardmäßig durch Verschlüsselung ab. Daher müssen Ermittlungsbehörden und Geheimdienste auf noch unbekannte Schwachstellen zurückgreifen, um die vorhandenen Sicherheitsvorkehrungen zu umgehen und Geräte zu überwachen. Der Verkauf solcher Lücken dürfte für Zerodium ein lukratives Geschäft sein.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.