Heartbleed: US-Regierung hält IT-Schwachstellen geheim

Nachdem die SSL-Lücke Heartbleed bekannt geworden war, wurde berichtet, die NSA habe von der Lücke gewusst. Das bestreitet die US-Regierung weiter, gibt aber zu, gefundene Sicherheitslücken nicht immer zu veröffentlichen.

In Pocket speichern vorlesen Druckansicht 70 Kommentare lesen
Lesezeit: 2 Min.

NSA-Hauptquartier: Welche IT-LĂĽcken kennen sie hier?

(Bild: Trevor Paglen)

Die US-Regierung hat bestätigt, dass ihre Geheimdienste neu entdeckte Sicherheitslücken in Computersystemen mitunter für Spionage und Cyberangriffe ausnutzen. Es gebe Kriterien, nach denen entschieden werde, ob eine Sicherheitslücke öffentlich gemacht werde oder nicht, erklärte Michael Daniel, der Berater von US-Präsident Barack Obama in Fragen der Cybersicherheit. Er bestätigte damit Informationen, die der ehemalige NSA-Mitarbeiter Edward Snowden enthüllt hatte.

"Eine Schwachstelle offen zu legen, ist normalerweise sinnvoll", schrieb Daniel in einem Blogeintrag auf der Webseite des Weißen Hauses. Denn auch die US-Regierung und die amerikanische Wirtschaft seien unbedingt darauf angewiesen, dass das Internet sicher laufe. Doch die Veröffentlichung einer Schwachstelle könne auch bedeuten, dass man auf eine Möglichkeit verzichte, "einen Terrorangriff zu vereiteln, den Diebstahl von geistigem Eigentum zu verhindern oder schwerwiegendere Sicherheitsrisiken zu entdecken", schreibt Daniel.

Heartbleed-Bug: Der GAU fĂĽr Web-VerschlĂĽsselung

Ein äußerst schwerwiegender Programmierfehler gefährdet Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Die Lücke erlaubt auch Zugriff auf vertrauliche Daten wie Klartext-Passwörter. Angesichts der Verbreitung der OpenSource-Bibliothek hat dies katastrophale Folgen.

Anhand mehrerer Punkte werde "auf hoher Ebene" entschieden, ob eine Schwachstelle öffentlich gemacht werde oder nicht. So werde gefragt, wie weit das angreifbare System in der Kerninfrastruktur des Internets verbreitet ist, beziehungsweise in anderer kritischer Infrastruktur, der US-Wirtschaft oder nationalen Sicherheitssystemen. Das könnte bedeuten, dass eine Lücke eher veröffentlicht wird, wenn viele US-Nutzer und Unternehmen oder die Sicherheitsbehörden des Landes davon betroffen sind. Genauere Erklärungen, welchen Einfluss die Antworten auf diese Fragen habe, gibt es aber nicht.

Weiterhin würde vor einer Veröffentlichung gefragt, welche Risiken entstehen, wenn die Lücke offen bleibt. Auch werde diskutiert, welchen Schaden eine gegnerische Nation oder kriminelle Vereinigung mit dem Wissen um die Lücke anrichten könne. Da spiele auch die Einschätzung hinein, wie wahrscheinlich es sei, dass man es mitbekomme, wenn die von der Lücke erfahren. Außerdem könne man darüber beraten, eine Sicherheitslücke lediglich für eine kurze Zeit auszunutzen, bevor man das Wissen darum öffentlich mache.

Die Praxis der US-Regierung, Sicherheitslücken unter Umständen für eigene Zwecke geheim zu halten, ist umstritten. Kritiker werden den USA vor, damit die Sicherheit der IT-Infrastruktur generell zu gefährden. Das Weiße Haus hatte zuletzt Berichte zurückgewiesen, wonach man von der katastrophalen Schwachstelle Heartbleed im Voraus gewusst habe. (mit Material von dpa) / (mho)