NSA gibt 9% aller von ihr entdeckten Zero Day-Lücken nicht weiter

Der US-amerikanische Auslandsgeheimdienst NSA versucht mit öffentlichkeitswirksamen Kampagnen ihr Ansehen im eigenen Land wieder aufzubauen. Nach den Skandalen um die weltweit eingesetzten Überwachungs- und Spionagesoftware ist das auch dringend nötig. Doch ein jetzt geführtes Interview mit NSA-Chef Michael Rogers hatte den gegenteiligen Effekt. Die Nachrichtenagentur Reuters hat einige der von Rogers genannten Daten hinterfragt und ehemalige Sicherheitsmitarbeiter und Personen aus der Wirtschaft dazu befragt. Herausgekommen ist ein Quasi-Geständnis der Einbehaltung von sicherheitsrelevanten Schwachstellen, die nicht nur US-Bürger gefährden. Infografik: Shellshock Sicherheitslücke

Zero Day-Lücken

Denn Rogers zitiert einen auch auf der Homepage der Nationalen Sicherheitsbehörde genannten Prozentsatz über Sicherheitslücken, die die NSA entdeckt und an die zuständigen Entwickler weitergeleitet hat. Diese so genannten Zero Day-Lücken enthalten oftmals Schwachstellen, mit denen sich Hacker weltweit in Systeme von Unternehmen, Behörden oder Privatleuten einschleusen können. Umso wichtiger erscheint es, dass die NSA auch jede von ihr gefundene Sicherheitslücke entsprechend meldet. Das tut sie aber den eigenen Angaben nach nur in 91 Prozent der Fälle.

Risikofaktor Geheimhaltung

Laut Reuters muss man davon ausgehen, dass es sich um Lücken handelt, die aktiv ausgenutzt werden, es also keine Schwachstellen sind, die nur theoretisch bestehen oder wenig Einfluss im normalen Nutzeralltag hätten. Der Umkehrschluss: 9 Prozent solcher sicherheitsrelevanten Schwachstellen gibt die NSA demnach nicht weiter - jede elfte Lücke bleibt also unter Verschluss.

Ein von Reuters konsultierter ehemaliger Sicherheitsmitarbeiter aus dem Weißen Haus erklärte zudem, dass die 91 Prozent, also die weitergemeldeten Fälle, für die NSA keinen strategischen Wert besäßen und daher von der Behörde weitergegeben werden. Es sei eine "vernünftige Annahme", dass die NSA sich diese Sicherheitslücken zuerst selbst zunutze mache, bevor man sie zur Schließung der Schwachstelle weitergibt.

Wertvolle Schwachstellen

Die fehlenden nicht gemeldeten 9 Prozent seien dagegen für den Auslandsgeheimdienst zu wertvoll, um sie herauszugeben. Mit diesem Gebärden gefährdet die NSA alle Computer-Nutzer weltweit, schreibt Reuters.

Siehe auch: BND will Zero Day-Lücken vor Nutzern verheimlichen und selbst nutzen

Auch die Sicherheitschefin von Mozilla Firefox, Denelle Dixon-Thayer, kommt in dem Bericht von Reuters zu Wort. Sie kritisiert die Gefahren, die durch die Zurückhaltung entstünden. Schließlich müsse man auch davon ausgehen, dass sobald die NSA eine Sicherheitslücke entdecke, andere Auslandsgeheimdienste und Kriminelle diese Schwachstelle ebenfalls bereits kennen.

Mehr dazu: Bericht: AT&T williger NSA-Partner bei Ausspähung von EU-Bürgern