RSA-Security-Chef: Coviello verteidigt Zusammenarbeit mit der NSA

In seiner Keynote auf der jährlichen Konferenz seines Unternehmens hat RSA-Security-Chef Art Coviello zugegeben, mit der NSA zusammengearbeitet zu haben. Gleichzeitig verteidigte er die Kooperation mit dem US-Geheimdienst. Coviello ging jedoch nicht explizit auf die Zahlung von 10 Millionen US-Dollar ein, die RSA Security von der NSA erhalten haben soll.

RSA Security hatte den wenig sicheren Algorithmus Dual_EC_DRBG als einen Standard in seiner Sicherheitssoftware Bsafe eingebaut und trotz jahrelanger Kritik beibehalten. Der Algorithmus wurde von RSA Security zusammen mit dem US-Geheimdienst entwickelt. Erst als die US-Behörde Nist (National Institute of Standards and Technology) Anfang September 2013 von der Verwendung von Dual_EC_DRBG abriet, warnte kurze Zeit später auch RSA Security selbst davor, den Zufallsgenerator zu verwenden. Im Dezember 2013 veröffentlichte Reuters Dokumente, die belegen, dass RSA Security als Gegenleistung für die 10 Millionen US-Dollar für die Entwicklung des schwachen Algorithmus eine Hintertür eingebaut hatte.

Geheimdienste müssen verantwortungsvoller werden

In seiner Keynote verteidigte Coviello den Einsatz von Dual_EC_DRBG. Dessen Schwächen und die Zusammenarbeit mit dem Verteidigungsarm der NSA (IAD, Information Assurance Directorate) seien jahrelang bekannt gewesen. Dann kritisierte er die NSA deutlich. Er verlangte, dass die US-Geheimdienste schärfer zwischen legitimer Aufklärung und massenhafter Überwachung trennen müssten, damit Unternehmen entscheiden könnten, für welchen Zweig sie arbeiten wollten. "Sämtliche Geheimdienste weltweit müssten ein verbindliches, klares und verantwortungsvolles Führungsmodell haben, das uns verteidigt und nicht verletzt."

Coviello stellte vier Richtlinien auf, nach denen die Sicherheitsindustrie künftig handeln sollte: Sie sollten Cyberwaffen ächten, bei der Ermittlung und Verfolgung von Tätern helfen, die Wirtschaft fördern sowie geistiges Eigentum schützen und die Privatsphäre verteidigen. Der RSA-Security-Chef zitierte schließlich John F. Kennedy: "Unsere Probleme sind von Menschen gemacht und können von Menschen gelöst werden". Dabei unterstrich er die Vorreiterrolle von RSA Security.

Morgen soll die Trustcon-Konferenz in San Francisco stattfinden. Dort werden zahlreiche Redner auftreten, die die diesjährige RSA-Security-Konferenz aus Protest boykottieren. Sie wollen nur wenige Meter von dem Tagungsort der RSA-Security-Konferenz entfernt darüber diskutieren, wie das Vertrauen in die Sicherheitsindustrie wiederhergestellt werden kann.