Heartbleed und Co. Wann das Weiße Haus Sicherheitslücken verschweigt

Warnt die US-Regierung vor jeder Sicherheitslücke, die ihr bekannt ist? Oder behält sie Probleme schon mal zum Wohle der Geheimdienste für sich? Das Weiße Haus hat sich nun per Blogbeitrag geäußert. Die Quintessenz: Manchmal schweigen wir.

Weißes Haus: Stellungnahme zum Umgang mit Sicherheitslücken
REUTERS

Weißes Haus: Stellungnahme zum Umgang mit Sicherheitslücken


Als Mitte April die Heartbleed-Sicherheitslücke bekannt wurde, machte schnell eine skandalös klingende Meldung die Runde: Der US-Geheimdienst NSA habe die Lücke seit "mindestens zwei Jahren" gekannt und systematisch ausgenutzt. Das Weiße Haus, die NSA und der US-Sicherheitsrat dementierten den Bericht umgehend, doch zumindest eine Frage wurde fortan kontrovers diskutiert: Würde die US-Regierung die Welt vor einem akuten Internetproblem warnen, wenn sich die Schwachstelle für Spionageaktionen nutzen ließe? Die Snowden-Enthüllungen haben das Vertrauen in die US-Sicherheitsbehörden nachhaltig erschüttert, so viel steht fest.

Bereits vor zwei Wochen zeichnete sich ab, dass die Antwort auf die Frage nach der Veröffentlichung von Sicherheitslücken wohl lautet, dass die US-Regierung von Fall zu Fall entscheidet. So könnten Lücken durchaus verheimlicht werden, wenn das Verschweigen der nationalen Sicherheit oder der Verfolgung von Straftaten helfe. "Wir schaffen unsere Atomwaffen nicht ab, bevor die Russen es nicht tun", zitierte die "New York Times" damals einen Geheimdienstmitarbeiter, "und Sie werden nicht erleben, dass die Chinesen 'Zero Days' aufgeben werden, nur weil wir das machen."

In einem Blogeintrag hat sich die US-Regierung nun auch offiziell zum Umgang mit Sicherheitslücken geäußert. Michael Daniel, Obamas Berater in Fragen der Cyber-Sicherheit, bestätigt darin, dass die US-Geheimdienste neuentdeckte Sicherheitslücken in Computersystemen mitunter für Spionage und Cyber-Angriffe nutzen. Es gebe Kriterien, nach denen entschieden werde, ob eine Sicherheitslücke öffentlich gemacht werde oder nicht.

"Offenlegen ist normalerweise sinnvoll"

"Eine Schwachstelle offenzulegen, ist normalerweise sinnvoll", schreibt Daniel. Auch die US-Regierung und die amerikanische Wirtschaft seien unbedingt darauf angewiesen, dass das Internet sicher sei. Doch wenn sie eine neue Schwachstelle öffentlich machten, würden die US-Geheimdienste eine Möglichkeit zur Spionage auslassen.

Durch die Ausnutzung von Sicherheitslücken könnten wichtige Informationen gewonnen werden, schreibt Daniel, etwa um Terroranschläge zu verhindern. Ebenso sei es manchmal möglich, auf Basis einer Sicherheitslücke weitere zu finden, mit denen Hacker US-Computernetzwerke ausbeuteten.

Die Regierung hat laut Daniel zwar keine festen Regeln dazu, wann eine Lücke offengelegt wird und wann nicht. In seinem Blogeintrag zitiert er allerdings Leitfragen, die er Geheimdiensten stellen würde, wenn diese vorschlügen, eine Lücke erstmal zu verschweigen.

Zu Daniels Fragen zählen unter anderem diese:

  • Welche Rolle spielt das angreifbare System in der Kerninfrastruktur des Internets, in anderen kritischen Infrastruktur-Systemen, in der amerikanischen Wirtschaft und/oder in den nationalen Sicherheitssystemen?
  • Birgt die Schwachstelle ein großes Risiko, wenn sie nicht per Patch geschlossen wird?
  • Welchen Schaden könnte verfeindete Nationen oder kriminelle Gruppen anrichten, wenn sie von der Schwachstelle erfahren?
  • Können wir die Schwachstelle für eine kurze Zeit nutzbar machen, bevor wir sie offenlegen?
  • Wie wahrscheinlich ist es, dass jemand anderes die Schwachstelle entdeckt?

Mit konkretem Bezug zu Heartbleed betont der Obama-Berater in seinem Blogpost erneut, die Regierung habe die Sicherheitslücke nicht vorab gekannt. Seinen Blogbeitrag beendet er mit einer Art Fazit: "Einerseits können Bürger bei zu wenig Transparenz das Vertrauen in ihre Regierung und deren Institutionen verlieren. Anderseits macht es zu viel Offenlegen unmöglich, die Informationen zu sammeln, die wir brauchen, um die Nation zu schützen."

mbö/dpa



insgesamt 1 Beitrag
Alle Kommentare öffnen
Seite 1
cavete 29.04.2014
1. Keine Gesundbeterei mehr
"Anderseits macht es zu viel Offenlegen unmöglich, die Informationen zu sammeln, die wir brauchen, um die Nation zu schützen." Wenn man dem gegenüberstellt, wie die NSA auch bei der eigenen Bevölkerung vorgegangen ist, dann klingt die Aussage wie Hohn. Angesichts der Gesamtsituation lässt sich nicht mehr von einer illusionären Einschätzung oder Gesundbeterei sprechen. Das Ganze hat Methode. Geschützt wird allenfalls das eigene, vorangegangene, gesetzeswidrige Vorgehen, bei der man die eigene Bevölkerung ausgespäht hatte.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.