NSA behält Informationen zu Zero-Day-Lücken oftmals für sich

PolitikSicherheitÜberwachung
national-security-agency-nsa_1024

Die National Security Agency (NSA) besitzt nach eigenen Angaben Informationen über Zero-Day-Lücken in Software. Dies geht aus einer schriftlichen Erklärung des künftigen Leiters des US-Auslandsgeheimdienstes, Michael S. Rogers, hervor. Darin äußert er sich zu Fragen des US-Senats. Demzufolge legt die NSA selbständig fest, ob sie den Anbieter einer betroffenen Software über die vorhandene Schwachstelle informiert oder ob sie die Informationen dazu bewusst zurückhält, um sie für Spionagezwecke zu nutzen.

national-security-agency-nsa_1024

“Innerhalb der NSA gibt es ausgereifte und effiziente Verfahren für den Umgang mit Zero-Day-Lücken, die in kommerziellen Produkten oder Systemen (nicht nur Software) entdeckt werden, die die USA und ihre Verbündeten benutzen”, schreibt Rogers. “Die Richtlinien und Verfahren stellen sicher, dass alle von der NSA im Rahmen ihrer gesetzlichen Aufgaben entdeckten Anfälligkeiten sofort dokumentiert und vollständig analysiert werden.”

Dabei ist jedoch ungewiss, wie oft die NSA entdeckte Lücken an die Hersteller weitergibt. Obwohl der Geheimdienst die Anbieter laut Rogers zwar regelmäßig informiert, sei das Ganze jedoch ein zweischneidiges Schwert. Einerseits könne eine Anfälligkeit eine Gefahr für US-Organisationen darstellen. Andererseits gab er aber auch zu, dass das Verschweigen solcher Informationen die Absicherung der Systeme erschwere.

“Da unsere Feinde regelmäßig Patches studieren, um mehr über die zugrunde liegenden Anfälligkeiten zu erfahren, die immer noch in ungepatchten Systemen stecken, könnte die Offenlegung vorübergehend das Risiko für US-Systeme erhöhen, bis passende Patches installiert wurden”, so Rogers weiter. “Wenn die NSA sich entscheidet, eine Anfälligkeit zum Zwecke der Auslandsspionage zurückzuhalten, dann ist das Verfahren zur Minimierung der Risiken für die USA und ihre Verbündeten komplexer.”

Im vergangenen Jahr setzte US-Präsident Barack Obama ein Expertengremium ein, das empfahl, den NSA-Einsatz von Zero-Day-Lücken auf ein Minimum zu begrenzen. Rogers erklärte hierzu bereits, dass er diesen Vorschlag nach seiner Ernennung zum NSA-Chef unterstützen werde.

Ebenfalls im vergangenen Jahr hatte die Washington Post auf der Basis von Dokumenten des Whistleblowers Edward Snowden berichtet, dass die NSA mindestens 25 Millionen Dollar für Informationen zu Zero-Day-Lücken bezahlt hat. So erwarb sie zum Beispiel vom französischen Sicherheitsunternehmen Vupen Details zu bestimmten Schwachstellen.

Dessen Mitarbeiter stellten am Dienstag auf der Sicherheitskonferenz CanSecWest erneut ihr Können unter Beweis. Im Rahmen des Hackerwettbewerbs Pwn2Own zeigten sie Zero-Day-Lücken in Adobe Reader, Adobe Flash Player, Internet Explorer sowie Firefox auf. Dafür erhielten sie Preisgelder in Höhe von 300.000 Dollar.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Lesen Sie auch :
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen