Privat genutzte Rechner für NSA wichtiger als Zero-Day-Lücken
Einem NSA-Vertreter zufolge spielen die vieldiskutierten unbekannten Sicherheitslücken für die Arbeit des Geheimdienstes eine untergeordnete Rolle. Ein wirklich wichtiger Angriffspunkt seien beispielsweise privat genutzte Firmencomputer. Zudem übe man sich in Geduld, um letzendlich zum Ziel zu kommen.
Die National Security Agency (NSA) ist offenbar nicht darauf angewiesen Zero-Day-Lücken selbst zu entdecken oder anzukaufen, um gezielt Computer mit Malware zu infizieren und in Netzwerke einzudringen. Sicherheitslücken, für die es noch keine Patches gibt, spielen bei staatlichen Hackerangriffen vielmehr eher eine untergeordnete Rolle, wie Rob Joyce, Chef der Hacking-Abteilung Tailored Access Operations (TAO), Ende vergangener Woche auf der Sicherheitskonferenz Usenix Enigma in San Francisco erklärt hat.
“Viele Menschen nehmen scheinbar an, dass staatliche Hackerangriffe mit Zero Days betrieben werden. Man hat einen Generalschlüssel, schließt die Tür auf und schon ist man drin. So ist das nicht”, zitiert Motherboard den Geheimdienstsprecher. Viel eher seien Ausdauer und Konzentration auf das Ziel gefragt. “Es gibt so viele weitere Vektoren, die leichter, weniger riskant und oft auch produktiver sind als dieser Weg.”
Joyce nannte als einen weiteren Weg unzureichend geschützte Firmengeräte, die auch für private Zwecke genutzt werden. “Warum sollte man sich um professionell verwaltete Netzwerke bemühen, wenn die Leute ihre Laptops mit nach Hause nehmen und dort deren Kinder am Abend zuvor Spiele per Steam heruntergeladen haben?”
Sicherheitsexperte Bruce Schneier hat zudem darauf hingeweisen, dass Zero-Day-Lücken in der Regel nur kurze Zeit lang genutzt werden könenn. “Wenn sie entdeckt werden, werden sie entweder benutzt oder öffentlich gemacht, und dann werden sie geschlossen. Wenn man sie hortet, dann werden sie von jemand anders gefunden.”
Dass sie grundsätzlich Zero-Day-Lücken für Spionagezwecke nutzt, hatte die NSA Anfang November 2015 eingeräumt. Demnach weist der Geheimdienst zwar bei 91 Prozent der von ihm gefundenen Schwachstellen den jeweiligen Softwareherstellern darauf hin, behält Informationen bei den restlichen 9 Prozent aus Gründen der “nationalen Sicherheit” aber für sich.
Angaben von ehemaligen und gegenwärtigen US-Regierungsvertretern zufolge nutzt die NSA Sicherheitslücken allerdinsg oft für eigene Zwecke, bevor die Anbieter informiert werden. Trotzdem besteht Joyce darauf, dass Zero-Day-Lücken nicht die wichtigste Waffe im Hacking-Arsenal des Geheimdiensts sind. “Es gibt einen Grund, warum das Advanced Persistent Thread (Deutsch: fortschrittliche anhaltende Bedrohung) genannt wird, weil wir stöbern und stöbern und warten und warten.” Manchmal müsse man nur darauf warten, dass ein Unternehmen Support per Fernzugriff erhalte.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.