Nach Heartbleed hat die US-Regierung eingestanden, Zero-Day-Lücken geheim zu halten und sie zur Spionage zu verwenden. Allerdings bestreitet ein hochrangiger Beamter des Weißen Hauses in einem Blog, dass die Regierung frühzeitig des schwerwiegenden Heartbleed-Bugs wusste. Die Erklärung stammt von Michael Daniel, Special Assistant des Präsidenten und Cybersecurity Coordinator.
“Einen riesigen Vorrat noch nicht öffentlich bekannter Schwachstellen aufzubauen, während das Internet angreifbar ist und die Menschen in Amerika schutzlos sind, wäre nicht im Interesse unserer nationalen Sicherheit”, schreibt Daniel weiter. “Aber das heißt nicht, dass wir völlig darauf verzichten sollten, dieses Werkzeug zu nutzen, um nachrichtendienstliche Erkenntnisse zu gewinnen und unser Land langfristig besser zu schützen.”
Für und gegen die Veröffentlichung von Schwachstellen gebe es gute Gründe, erklärte das Weiße Haus. Man müsse zwischen einer sofortigen Enthüllung und einem zeitlich begrenzten Zurückhalten genau abwägen. Eine falsche Entscheidung könne schwerwiegende Folgen nach sich ziehen. Durch die Offenlegung einer Sicherheitslücke könne beispielsweise die Chance entgehen, “entscheidende Informationen zu sammeln, um einen terroristischen Angriff oder den Diebstahl von geistigem Eigentum unseres Landes zu verhindern”.
Für die Entscheidungsfindung der Behörden habe die Regierung daher einige Grundsätze entwickelt. Zudem treffe eine hohe Ebene in einem strikten Verfahren die Entscheidung. Schnell anwendbare und unumstößliche Regeln gebe es dabei zwar nicht, aber einige wichtige Fragen müssten beantworten werden: Entsteht eine Gefährdung für den Kern der Internet-Infrastruktur? Sind weitere kritische Systeme, die US-Wirtschaft oder die nationale Sicherheit betroffen? Wie hoch sind die Risiken einer nicht behobenen Lücke? Wie viel Schaden könnten ein gegnerisches Land oder kriminelle Gruppen damit anrichten? Wie dringend werden nachrichtendienstliche Informationen benötigt, die damit zu gewinnen wären? Wie wahrscheinlich ist es, dass andere auf die Schwachstelle stoßen?
Das Weiße Haus geht mit der Erklärung in die Offensive, um das verlorene Vertrauen der Öffentlichkeit wieder herzustellen. Wie die Washington Post berichtete, gab der US-Auslandsgeheimdienst NSA im Jahr 2013 mindestens 25 Millionen Dollar für Zero-Day-Lücken aus. So kaufte er Information über Zero-Day-Lücken von der französischen Sicherheitsfirma Vupen. Zudem erwarb es von dem Unternehmen die Software, um die Schwachstellen zu nutzen.
Wie aus Unterlagen von Whistleblower Edward Snowden hervor geht, umgeht die NSA zudem seit längerer Zeit gängige Verschlüsselungsmethoden, indem sie Schlüssel von Privatfirmen stiehlt, gemeinsam mit Anbietern Hintertüren einrichtet und heimlich Schwächen in Verschlüsselungsstandards einführt. Aus diesem Grund werfen Sicherheitsexperten dem Geheimdienst die gezielte Unterminierung der Internet-Sicherheit vor.
[mit Material von Bernd Kling, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…
KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.
Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.
Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.
Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…
Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.
View Comments
...und wäre Heartbleed nicht "öffendlich" gemacht worden würden diese Penner in Amiland grad so weitermachen.
Wer macht schon eine Quelle dicht aus der fürstlich gesaugt werden kann. Scheinheiliges Pack!