NSA meldet neun Prozent der Zero-Day-Lücken nicht
9. November 2015, 10:47
8 Postings
91 Prozent würden zwar veröffentlicht, dürften
zuvor aber vom Geheimdienst ausgenutzt worden sein
Die NSA hat auf Kritik reagiert, Informationen zu
Zero-Day-Lücken weitgehend systematisch zurückzuhalten werden. Dem
Geheimdienst wird vorgeworfen, dadurch Unternehmen für Hackerangriffe
anfällig zu lassen. Nach eigenen Angaben meldet die NSA 91 Prozent dieser
Sicherheitslücken. Allerdings verschweigt der Geheimdienst, wann Unternehmen
davon informiert werden.
Topkäufer von Zero-Day-Lücken
Bei Zero-Day-Lücken handelt es sich um
Schwachstellen, für die Entwickler noch keine Sicherheitsupdates
veröffentlichen konnten. Viele sind daher sehr gefährlich und bilden den
Boden für ein lukratives Geschäft, das gleichermaßen Hacker und
Regierungsorganisationen bedient. Die NSA gehört früheren Berichten zufolge
zu den Topkäufern solcher Lücken. Gleichzeitig sucht der Geheimdienst auch
selbst nach solchen Lücken, um sie für Spionagezwecke auszunutzen.
Neun Prozent aller Lücken meldet die NSA nach
eigenen Angaben also nicht, 91 Prozent werden bekannt gemacht. Aber selbst
in diesen Fällen ist nicht klar, wann der Geheimdienst die Entwickler
informiert. Wie ein früherer Mitarbeiter des Weißen Hauses zu Reuters sagt,
könne man von ausgehen, dass die meisten dieser Lücken bereits von der NSA
ausgenutzt wurden, bevor die Unternehmen informiert wurden. Auch der Schutz
geistigen Eigentums der USA wird genannt oder das Risiko durch bestimmte
Lücken auf noch gefährlichere Schwachstellen zu stoßen.
"Legitime" Situationen, um Lücken zurückzuhalten
Auf ihrer Website führt die NSA Vor- und Nachteile
aus, Informationen über solche Lücken preiszugeben. Im den meisten Fällen
sei das "verantwortungsvolle Bekanntmachen einer neu entdecken Schwachstelle
eindeutig im nationalen Interesse". Es gebe aber auch legitime Situationen,
in denen solche Informationen zurückgehalten werden könnten. Indem man eine
Sicherheitslücke aufdeckt, könnte der Geheimdienst die Chance verpassen,
"ausschlaggebende Informationen aus dem Ausland" zu sammeln, mit denen
beispielsweise terroristische Attacken vereitelt werden könnten.
Unternehmen wie Mozilla kritisieren am Vorgehen
der NSA, dass die Gefahr wachse, je länger eine Lücke von den Entwicklern
unerkannt bleibe. Denn dadurch erhöhe sich das Risiko, dass auch Hacker oder
fremde Geheimdienste auf die Schwachstelle stoßen und sie ausnutzen.
(br,
9.11.2015)
Links
Reuters
NSA-Informationen über Zero-Day-Lücken
http://derstandard.at/2000025333736/NSA-meldet-9-Prozent-der-Zero-Day-Luecken-nicht