Überwachungsskandal: NSA kauft Schwachstellen-Infos von Sicherheitsfirma Vupen
Aus der Antwort auf eine Anfrage einer amerikanischen Bürgerrechts-Aktivistin geht hervor, dass der Geheimdienst Informationen über aktuelle Schwachstellen von der französischen Sicherheitsfirma erhält.
- Fabian A. Scherschel
Aus der Veröffentlichung eines Antrags im Rahmen des Freedom of Information Acts (FOIA) an die National Security Agency geht hervor, dass die NSA Informationen über öffentliche Lücken von Vupen Security gekauft hat. Der jetzt offengelegte Vertrag vom 14. September 2012 zeigt, dass der Geheimdienst ein Abonnement für Vupens Dienst mit dem Namen In-Depth Binary Analysis and Exploit abgeschlossen hat. Im Rahmen dieses Produktes verkauft Vupen detaillierte Informationen über öffentlich bekannte Sicherheitslücken. Viel spannender ist allerdings die Frage, ob die NSA das Produkt Offensive Security, das auch exklusive Zero-Day-Lücken für gezielte Angriffe enthält, ebenfalls abonniert hat. Dazu taucht in der Antwort der Behörde allerdings nichts auf.
Laut der Antwort der NSA auf die FOIA-Anfrage der Webseite MuckRock gibt es nur ein Dokument, eben jenen veröffentlichten Vertrag, das unter die Kriterien der Anfrage fällt. Bürgerrechts-Aktivistin Heather Akers-Healy hatte nach allen Verträgen der NSA mit Vupen in den letzten zehn Jahren gefragt. Dass die NSA keine Informationen zu anderen Verträgen preisgegeben hat, heißt allerdings nicht, dass diese nicht existieren. Laut neun Ausnahmen, die in Titel 5 des United States Code (USC) geregelt sind, fallen gewisse Informationen, die laufende Strafermittlungen oder die nationale Sicherheit betreffen, nicht unter das FOIA-Gesetz — das heißt, Anfragen nach ihnen müssen auch nicht beantwortet werden.
Dass die NSA Vupens Dienste nutzt, passt ins Bild der Vorgehensweise des Geheimdienstes, das die Öffentlichkeit sich seit Edward Snowdens Veröffentlichungen bilden konnte. Da gut implementierte Verschlüsselung für die NSA weiterhin ein Hindernis darstellt, sind kritische Lücken in kommerzieller Software, genauso wie absichtlich eingebaute Schwachstellen in Krypto-Standards, eine gute Möglichkeit, die Daten vor oder nach der Verschlüsselung abzugreifen. Auch die vom Spiegel veröffentlichten Informationen zum Vorgehen des Geheimdienstes beim Angriff auf Smartphones macht deutlich, dass dies in erster Linie über Schwachstellen in Desktop-Systemen geschieht. (fab)
