Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

NSA und Co.: US-Geheimdienste melden viele Zero-Day-Lücken vertraulich

In einem Gespräch mit Wired bemüht sich Präsident Obamas Chef der Cybersecurity, Michael Daniel, das Bild der Geheimdienste zu verbessern. Diese würden Sicherheitslücken nicht in großer Zahl sammeln, sondern oft melden. An Transparenz darüber haben die Dienste aber kein Interesse.
/ Nico Ernst
6 Kommentare News folgen (öffnet im neuen Fenster)
Auch bei Heartbleed ist unklar, ob die NSA den Bug nutzte. (Bild: EFF)
Auch bei Heartbleed ist unklar, ob die NSA den Bug nutzte. Bild: EFF

"Es entsteht oft der Eindruck, dass die Regierung viel Zeit und Aufwand darauf verwendet hat, um Sicherheitslücken zu entdecken und in großer Zahl vorrätig hält. Die Realität ist aber bei weitem nicht so spannend." Das sagte Michael Daniel zu Wired.(öffnet im neuen Fenster) Daniel ist der Koordinator für Cybersicherheit im Weißen Haus und damit für die Umsetzung der Richtlinien der US-Regierung zuständig.

Ebenso wie in Deutschland, wo der BND sogar Sicherheitslücken auf dem Schwarzmarkt kaufen will , gibt es in den USA eine anhaltende Debatte darüber, wie die Regierung und ihre Geheimdienste mit Zero-Day-Exploits umgehen sollen. Laut Daniel melden die US-Dienste viele der Lücken an die Hersteller der betroffenen Produkte, aber: "Wir wollen dabei aus einer Vielzahl von Gründen nicht genannt werden." Es sei zudem ein Grundsatz, dass die "meisten der Lücken, die wir finden, an die Hersteller gemeldet werden."

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT-Administrator/ Fachinformatiker für Systemintegration (m/w/d) NordCap GmbH & Co. KG, Bremen,Home Office (öffnet im neuen Fenster)
Product Owner (m/w/d) Seven2one Informationssysteme GmbH, Karlsruhe (öffnet im neuen Fenster)
Projektmanager*in/Controller*in (m/w/d) Humboldt-Universität zu Berlin, Berlin (öffnet im neuen Fenster)
Senior Testmanager / Testautomatisierer (w/d/m) Hyand Group, Ratingen (öffnet im neuen Fenster)
Consultant ITSCM / IT-Notfallmanagement (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)
System- und Netzwerkadministrator (m/w/d) Anton Schneider 5. GmbH, Frankfurt am Main (öffnet im neuen Fenster)
(Senior-) Professional Cyber Security Risk Management (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)
Cyber Security Analyst (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)

Das könnte eine Erklärung dafür sein, warum es immer wieder gravierende Lücken gibt, die nicht von einem namhaften Security-Unternehmen gemeldet werden – eine solche Firma zieht daraus in der Regel viel Reputation. Ein jüngstes Beispiel ist der Kerberos-Bug , eine kritische Lücke in allen noch unterstützten Windows-Versionen, die Microsoft jetzt geschlossen hat. Laut dem Softwarehersteller wurde sie vertraulich gemeldet, direkte Hinweise auf Geheimdienste gibt es dabei aber nicht.

Laut Daniel gibt es eine Institution, an der alle Geheimdienste der USA beteiligt sind. Dieses Gremium diskutiert bei jeder schweren Lücke, wie damit umzugehen sei. Dabei wird unter anderem betrachtet, ob sich die Bugs für Angriffe auf kritische Infrastruktur wie die Energieversorgung nutzen lassen. Manchmal, so Daniel, fällt dann auch die Entscheidung, dass eine Lücke für Geheimdienste und Strafverfolger zu wichtig ist, um sie gleich zu veröffentlichen.

Solche Fehler würden dann "für eine bestimmte Zeit" zurückgehalten, so Obamas Geheimdienstkoordinator weiter. Wie lange das der Fall ist, gab er aber nicht an. Jede solche Entscheidung müsse aber mehrmals pro Jahr überprüft werden, sagte Michael Daniel.

Zur Startseite 6 Kommentare

Relevante Themen

VerschlüsselungPolitikSecuritySicherheitslückeCybercrimeDatensicherheitBarack Obama