Nach Heartbleed: USA räumen Zurückhalten von Sicherheitslücken ein

Die US-Regierung hat nach Heartbleed zum Vorwurf Stellung genommen, Zero-Day-Lücken geheimzuhalten und für Spionagezwecke zu nutzen. In einem Blogeintrag räumt ein hochrangiger Beamter des Weißen Hauses das Zurückhalten einzelner Schwachstellen ein, bestreitet aber erneut eine frühe Kenntnis des schwerwiegenden Heartbleed-Bugs. Die Erklärung kommt von Michael Daniel, Special Assistant des Präsidenten und Cybersecurity Coordinator.

Daniel beteuert, die Regierung sei ernsthaft für ein offenes, sicheres und verlässliches Internet engagiert. „In den meisten Fällen ist es klar im nationalen Interesse, eine neu entdeckte Sicherheitslücke zu enthüllen“, schreibt er. „Das war bisher so und wird auch weiterhin so gehandhabt.“ Schließlich seien alle im täglichen Leben auf das Internet und verbundene Systeme angewiesen. Die Wirtschaft könnte nicht mehr ohne das Netz funktionieren – die USA seien mindestens so sehr auf die Sicherheit dieser Systeme angewiesen wie alle anderen.

„Einen riesigen Vorrat noch nicht öffentlich bekannter Schwachstellen aufzubauen, während das Internet angreifbar ist und die Menschen in Amerika schutzlos sind, wäre nicht im Interesse unserer nationalen Sicherheit“, schreibt Daniel weiter. „Aber das heißt nicht, dass wir völlig darauf verzichten sollten, dieses Werkzeug zu nutzen, um nachrichtendienstliche Erkenntnisse zu gewinnen und unser Land langfristig besser zu schützen.“

Dem Weißen Haus zufolge gibt es gute Gründe für und gegen die Entscheidung zur Enthüllung von Schwachstellen, und die Abwägung zwischen sofortiger Enthüllung und dem Zurückhalten einiger Schwachstellen für eine begrenzte Zeit könne schwerwiegende Folgen haben. Durch die Offenlegung einer Sicherheitslücke könne die Chance entgehen, „entscheidende Informationen zu sammeln, um einen terroristischen Angriff oder den Diebstahl von geistigem Eigentum unseres Landes zu verhindern“.

Eine solche Abwägung falle nicht leicht, daher seien Grundsätze für die Entscheidungsfindung der Behörden entwickelt worden. Die Entscheidung werde zudem in einem strikten Verfahren auf hoher Ebene und über Behörden hinweg getroffen. Dabei gebe es zwar keine unumstößlichen und schnell anwendbaren Regeln, aber es seien wichtige Fragen wie diese zu beantworten: Entsteht eine Gefährdung für den Kern der Internet-Infrastruktur? Sind weitere kritische Systeme, die US-Wirtschaft oder die nationale Sicherheit betroffen? Wie hoch sind die Risiken einer nicht behobenen Lücke? Wie viel Schaden könnten ein gegnerisches Land oder kriminelle Gruppen damit anrichten? Wie dringend werden nachrichtendienstliche Informationen benötigt, die damit zu gewinnen wären? Wie wahrscheinlich ist es, dass andere auf die Schwachstelle stoßen?

Die Erklärung des Weißen Hauses ist ein offensiver Versuch, verlorenes Vertrauen der Öffentlichkeit zurückzugewinnen. Nach einem Bericht der Washington Post gab der US-Auslandsgeheimdienst NSA 2013 mindestens 25 Millionen Dollar für Zero-Day-Lücken aus. Unter anderem kaufte er von der französischen Sicherheitsfirma Vupen Informationen über Zero-Day-Lücken und die Software, um sie zu benutzen. Nach von Whistleblower Edward Snowden enthüllten Unterlagen umgeht die National Security Agency außerdem schon länger gängige Verschlüsselungsmethoden, indem sie Schlüssel von Privatfirmen stiehlt, gemeinsam mit Anbietern Hintertüren einrichtet und heimlich Schwächen in Verschlüsselungsstandards einführt. Sicherheitsexperten werfen ihr deshalb die gezielte Unterminierung der Internet-Sicherheit vor.

[mit Material von Dara Kerr, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de