MonsterMind: NSA arbeitet angeblich an Cyber-Abwehrsystem

Angeblich arbeitet der US-Auslandsgeheimdienst National Security Agency (NSA) an einem MonsterMind genannten Cyber-Abwehrsystem. Dieses soll automatisch Cyberangriffe auf die USA neutralisieren. Das sagte Whistleblower Edward Snowden in einem Interview mit Wired. Es lasse sich zudem für Gegenangriffe verwenden.

MonsterMind analysiere massenhaft gesammelte Metadaten, um normalen Datenverkehr im Netzwerk von auffälligem oder gefährlichem Traffic zu unterscheiden. Dafür hat die NSA dem Whistleblower zufolge eigens Algorithmen entwickelt. Der Geheimdienst könne mit diesen Informationen unverzüglich und eigenständig eine “ausländische Bedrohung” erkennen und blockieren, heißt es in dem Bericht.

Matt Blaze, Kryptografieexperte und Professor für Computerwissenschaften an der University of Pennsylvania, hält es für möglich, Muster in Metadaten zu erkennen, die Rückschlüsse auf bestimmte Angriffe zulassen. “Eine einzelne Aufzeichnung eines einzelnen Datenflusses erzählt nicht viel, aber Muster von Datenflüssen, die typisch für einen Angriff sind, offenbaren möglicherweise mehr”, zitiert ihn Wired. “Wenn man Hunderte oder Tausende Datenflüsse hat, die an einem bestimmten Ort beginnen und auf eine bestimmte Maschine gerichtet sind, dann könnte das auf einen Angriff hinweisen. So funktionieren normalerweise Intrusion-Prevention-Systeme und Systeme zum Erkennen von Anomalien.” Mit Kenntnissen über die Angriffswerkzeuge eines Feindes sei es vielleicht sogar möglich, bestimmte Angriffsmuster einem einzelnen Tool zuzuordnen.

Snowden zufolge kommt bei einem Gegenangriff möglicherweise Schadcode zum Einsatz. Mit diesem lasse sich das angreifende System oder nur das Angriffs-Tool deaktivieren oder unbrauchbar machen. Allerdings entstehen durch das MonsterMind-Programm einige Risiken. Es könne über Server unschuldiger Dritter ein Angriff aus dem Ausland gestartet werden, wie ein Botnetz aus mit Schadsoftware infizierten Rechnern oder sogar Rechner, die einem anderen Staat gehören. In solch einem Fall könne ein Gegenschlag der NSA zu einem Konflikt mit dem Land führen, in dem der Rechner stehe, ergänzte Snowden. Auch erhebliche Kollateralschäden können durch eine Vergeltungsmaßnahme entstehen. Zuvor müsste die USA also den Angreifer und die von ihm genutzten Systeme und Dienste identifizieren, um nicht versehentlich wichtige zivile Infrastrukturen auszuschalten.

Auch verfassungsrechtliche Fragen werfe MonsterMind auf, so Snowden weiter. Die NSA müsse “jeglichen” Netzwerkverkehr sammeln und analysieren, um Angriffe erkennen zu können. Andernfalls wäre sie nicht in der Lage, einen Algorithmus zu entwickeln, der gefährlichen von ungefährlichem Traffic unterscheide. “Das bedeutet, sie müssen allen Traffic abfangen”, sagte Snowden. Das wäre ein Verstoß der NSA gegen den vierten Verfassungszusatz. Dieser untersagt das Abhören privater Kommunikation ohne Gerichtsbeschluss oder einen konkreten Verdacht oder Grund.

Unbekannt ist, ob MonsterMind wirklich existiert. Das Programm befand sich Wired zufolge noch in Arbeit, als Snowden die NSA verlassen hat. Fragen zu dem Programm von Wired wollte der Geheimdienst nicht beantworten.

Offenbar ist die NSA aber in der Lage, den gesamten Internetverkehr eines Landes lahmzulegen – wenn auch nur versehentlich. 2012 habe der Geheimdienst versucht, in die Kommunikationssysteme Syriens einzudringen, um E-Mails abzufangen, berichtet das National Journal unter Berufung auf das von Wired mit Edward Snowden geführte Interview. Der Angriff auf einen zentralen Router des wichtigsten Internet Service Providers des Landes habe jedoch ungewollt das Internet in Syrien für mehrere Tage zusammenbrechen lassen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.