NSA-Verträge mit Schwachstellen-Händlern unter der Lupe
Nachdem der Vertrag zwischen der NSA und Vupen bekannt wurde, befragen Journalisten der Enthüllungs-Webseite MuckRock den Geheimdienst jetzt nach weiteren Exploit-Lieferanten.
- Fabian A. Scherschel
Vor einigen Tagen wurde bekannt, dass der US-Geheimdienst NSA bei der französischen Sicherheitsfirma Vupen Informationen über Sicherheitslücken eingekauft hat. Das hatte die Website MuckRock durch eine Anfrage bei der NSA nach dem Freedom of Information Act (FOIA) herausgefunden. Vupens CEO Chaouki Bekrar hat MuckRock nun per Twitter herausgefordert, die NSA doch auch mal nach ihren Verträgen mit den US-Sicherheitsfirmen ManTech, Raytheon and Harris zu befragen.
MuckRock reagierte auf den Tweet mit der Antwort, man arbeite daran und würde Bekrar auch gerne helfen, selbst FOIA-Anfragen einzureichen. MuckRock-Aktivistin Heather Akers-Healy hat indessen eine Anfrage nach Veträgen der NSA gestellt, die Exploits im Allgemeinen betreffen. Ebenso hat sie FOIA-Auskünfte über die US-Firmen ManTech und Endgame losgetreten.
In einem Blog-Artikel erklärt Akers-Healy wie sie auf die Idee kam, überhaupt FOIA-Anfragen als Werkzeug journalistischer Arbeit einzusetzen und warum sie gerade Vupen als erstes Ziel auswählte. Offensichtlich war sie durch einen Forbes-Artikel auf Vupen und Bekrar aufmerksam geworden. Besonders faszinierend fand sie nach eigenen Angaben die Tatsache, wie locker Bekrar damit umginge, Sicherheitslücken an Regierungen zu verkaufen und Nutzer schutzlos auszuliefern.
Nach Ansicht von Akers-Healy stellen FOIA-Anfragen eine gute Möglichkeit dar, den Geheimdiensten Informationen über ihr Vorgehen zu entlocken; dies treffe besonders auf Verträge zu. Wenn es um die Verwendung von Steuergeldern ginge, sei ein öffentliches Interesse im Sinne des Freedom of Information Act oft schlüssig nachzuweisen. (fab)