RSA-Boss: "Ja, wir haben mit der NSA zusammengearbeitet"

"Hat RSA für die NSA gearbeitet? Ja. Aber diese Tatsache ist seit einem guten Jahrzehnt öffentlich bekannt". Dies war einer der deutlichsten Sätze aus Coviellos Eröffnungsansprache zur RSA Conference 2014. Er erklärte, dass RSA – genau wie etliche andere US-Technikunternehmen – zum Wohle der Verteidigung des Landes schon seit langem mit dem Verteidigungsarm der NSA (IAD, Information Assurance Directorate) zusammenarbeite. Dies sei auch bekannt und kein Problem.

Mit keinem Wort ging Coviello jedoch auf den bekannt gewordenen Vertrag zwischen dem Geheimdienst und RSA sowie der in diesem Zusammenhang kolportierten Zahlung von 10 Millionen Dollar ein. In Bezug auf den geschwächten Algorithmus Dual_EC_DRBG, den RSA jahrelang als Standardeinstellung in seinen Produkten anbot, sagte Coviello: "Die US-Regierung verlangte diesen Algorithmus. Sie war damals unser größter Kunde und wir taten, was der Kunde wünschte." Als die US-Standardisierungsorganisation NIST vor einer Schwachstelle in Dual_EC_DRBG warnte, habe sein Unternehmen die Kunden "gebührend benachrichtigt".

Dabei unterschlägt Coviello nonchalant die Tatsache, dass RSA da bereits seit über sechs Jahren von der Hintertür in seinem Produkt BSafe wusste und dieses trotzdem weiterhin an seine Kunden verkauft hatte. Bereits 2007 wurde die Tatsache, dass der Zufallszahlengenerator eine Backdoor aufweist, auf einer Konferenz veröffentlicht. In den Jahren davor wurde der Sachverhalt in Gremien diskutiert, in denen auch RSA-Vertreter saßen, wie andere Teilnehmer berichten. Doch erst als sich das Problem beim besten Willen nicht mehr totschweigen ließ, hat RSA gehandelt. Also mehr als sechs Jahre später.

Coviello sprach im Anschluss davon, dass Geheimdienste wie die NSA geteilt werden sollten: in einen Teil, der sich um Lauschangriffe und andere offensive Projekte kümmert und einen, der auf die Verteidigung konzentriert sei. So könne man als Unternehmen halbwegs vertrauensvoll mit dem auf Verteidigung ausgelegten Teil zusammenarbeiten, ohne sich Gedanken über die Motivation einer von außen nicht zu durchschauenden Organisation machen zu müssen. Coviello wörtlich in Bezug auf die NSA: "Wenn wir nicht sicher wissen, mit welchem Teil der NSA wir arbeiten, dann sollten wir gar nicht mehr mit der NSA arbeiten".

Scott Charney, Chef von Microsofts Sicherheitsabteilung Trustworthy Computing, trat nach Art Coviello auf die Bühne. Auch er sprach über das gestörte Vertrauensverhältnis zwischen Nutzern, Unternehmen und Regierungen. Hinsichtlich der immer wieder auftauchenden Gerüchte, dass Microsoft absichtlich Hintertüren in seine Produkte einbaue, um US-Geheimdiensten das Schnüffeln zu erleichtern, sagte er: "Es gibt keine Hintertüren in unseren Produkten. Das wäre wirtschaftlicher Selbstmord." Einen direkten Bezug zu den Vorwürfen, denen sich sein Gastgeber RSA ausgesetzt sieht, stellte Charney jedoch nicht her.

Er ging hingegen auch auf die seit vielen Jahren immer wieder hochgekochten Hinweise auf den Registryschlüssel namens "NSAkey" ein: "Glauben Sie ernsthaft, dass wir eine geheime Hintertür in unseren Code schmuggeln und das Ding dann NSA-Key nennen?"

Charney gehe zudem nicht davon aus, dass das Ausliefern des Windows-Sourcecodes an Regierungsorganisationen weltweit für mehr Gefahr und mehr Angriffe sorge. Das Suchen von Bugs im Sourcecode sei im Vergleich zu Verfahren wie Fuzzing – für die kein Sourcecode notwendig sind – nicht effizient. Gleichzeitig gestand Scott Charney aber auch ein, dass man keine Kontrolle habe, ob sich die Empfänger des Quellcodes an die Vorgabe halte, gefundene Bugs an Microsoft zu melden. (ju)