PRISM: Microsoft liefert US-Regierung keine Cyberwar-Munition
Medienberichte legen nahe, Microsoft versorge die US-Regierung mit Windows-Sicherheitslücken zum Einsatz in digitalen Spionageaktionen. In einer Stellungnahme weist Microsoft derlei Anschuldigungen vor sich.
- Gerald Himmelein
Die Aufregung über das NSA-Programm "PRISM" schlägt weiterhin hohe Wellen. In einem Bericht über den Datenaustausch zwischen der US-Regierung und Privatunternehmen hebt der US-Nachrichtendienst Bloomberg hervor, dass Microsoft die US-Geheimdienste mit Informationen über Sicherheitslücken in seinen Produkten informiere, bevor dafür öffentliche Patches verfügbar sind.
Michael Riley von Bloomberg unterstellt in seinem Artikel, diese Informationen dienten nicht nur zum Schutz von Regierungscomputern. Die Sicherheitslücken könnten auch dazu genutzt werden, um auf die Rechner von Terroristen oder militärischen Gegnern zuzugreifen.
In einer Stellungnahme weist Microsoft diese Annahme von sich. "Microsoft reicht Informationen über Sicherheitslücken über mehrere Kanäle weiter. An einigen dieser Kanäle nehmen Regierungsmitglieder teil." Die Weitergabe der Informationen erfolge kurz vor dem monatlichen Patch Day.
Als Beispiel nennt Microsoft MAPPS, das "Microsoft Active Protections Program". Es leitet Informationen über Sicherheitslücken weiter, damit Partnerunternehmen ihre Produkte um zusätzliche Schutzmechanismen erweitern können. Für Regierungen gebe es zusätzlich das "Security Cooperation Program" (SCP). Dieses gebe technische Eckdaten über Sicherheitslücken vor dem Patch Day weiter.
Freilich kann Microsoft nicht ausschließen, dass Regierungsorganisationen die technischen Details für digitale Angriffe einsetzen. Es ist allerdings zu bezweifeln, dass Geheimdienste über MAPPS und SCP hereinkommende Informationen dafür nutzen.
Für Regierungsorganisationen gibt es deutlich bessere Kanäle, um an Sicherheitslücken zu kommen: Diverse unabhängige Sicherheitsunternehmen verkaufen unentdeckte Lücken (0-Day-Exploits) an den Meistbietenden. Regierungsorganisationen sind hier gern gesehene Stammkunden – ihre Budgets lassen höhere Preise zu, als Kleinkriminelle bezahlen könnten. Die im Untergrund gehandelten Sicherheitslücken werden nur in Ausnahmefällen an die Hersteller der verwundbaren Produkte weitergereicht. Daher lassen sich die Exploits meist deutlich länger einsetzen.
Die Stellungnahme von Microsoft im Wortlaut:
"Microsoft has several programs through which we disclose information regarding vulnerabilities, some of which have government participants. Prior to any fix being released to the ~1B computers that receive automatic security updates each month, Microsoft communicates with program participants after our engineering cycle is completed to ensure delivery of the most current information. While timing varies slightly each month, disclosure takes place just prior to our security update for billions of customers.
One example is our Microsoft Active Protections Program (MAPP), which supplies Microsoft vulnerability information to security software partners prior to Microsoft's monthly security update release so partners can build enhanced customer protections. Another example of information sharing is the Security Cooperation Program (SCP) for Governments. Membership provides key technical information on security vulnerabilities prior to the security update being publically available."
(ghi)
