Der US-Geheimdienst NSA hat bislang einen merkwrdigen, aber gar nicht so schlechten Ruf in der Technologiebranche. Es gibt wenig grundstzliche Ablehnung, die NSA-Entwickler gelten als fhig, ihre Motivation und die bergeordneten Ziele ihres Dienstes sieht kaum jemand als grundlegend bse an. Common Sense war bis heute: Auch wenn man ber einige Aktionen streiten kann, grundstzlich will die NSA dasselbe wie westliche IT-Firmen und die Nutzer: ein sicheres Netz, eine geschtzte Infrastruktur.
Deshalb arbeiten NSA-Mitarbeiter seit Jahren an der Infrastruktur der digitalen Gesellschaft mit, ohne dass jemand die Rolle ihrer Behrde dabei in Frage stellt. Ihr Rat, ihre Expertise und ihr Code sind geschtzt:
- Als Google vor drei Jahren angeblich von chinesischen Hackern angegriffen wurde, holte sich der Konzern Hilfe bei der NSA.
- Bei renommierten Sicherheitskonferenzen wie der Black Hat traten NSA-Mitarbeiter als Redner und Gste auf.
- NSA-Angestellte arbeiten bei der Internetstandardisierung der Internet Engineering Task Force mit.
- Ein bei der NSA entwickelter Code ist Teil einer Sicherheitserweiterung des Linux-Kernels.
- Von der NSA entwickelte Sicherheitsfunktionen sind inzwischen Teil von Googles Android-System.
1. Die NSA kauft Sicherheitslcken fr Angriffe, statt sie zu verffentlichen.
Laut "Washington Post" kauft die NSA verdeckt auf dem Graumarkt Sicherheitslcken fr ihre Angriffe auf Computersysteme. Mehr als 25 Millionen Dollar sollen in diesem Jahr dafr ausgegeben werden. Dieser Handel mit bislang unbekannten Sicherheitslcken ist in vielerlei Hinsicht problematisch.
Hier gibt es einen Interessenkonflikt: Die NSA kauft sich einen Informationsvorsprung, wenn sie als erster Kufer von bislang unbekannten Lcken in weit verbreiteter Software erfhrt. Wenn die NSA dagegen unmittelbar die Hersteller und die Fachwelt warnt, verliert sie ihren Informationsvorsprung.
Es wird kaum im Sinne der NSA sein, dass die Lcken gestopft werden, bevor der Geheimdienst sie fr Angriffe ausgenutzt und verwundbare Systeme bernommen hat. Hier gibt es einen Widerspruch zwischen mehr Sicherheit im Netz und dem Interesse der US-Regierung an erfolgreichen Cyberangriffen der NSA.
2. NSA infiziert weltweit Infrastruktur mit Schlferprogrammen, statt sie zu schtzen.
Ende dieses Jahres sollen weltweit mindestens 85.000 Systeme mit NSA-Trojanern infiziert sein, das sieht ein geheimer Haushaltsplan vor, den die "Washington Post" zitiert. Welche Systeme die NSA dabei genau im Visier hat, verrt das Dokument nicht. Aber es drften kaum einfache Heimrechner sein, die Rede ist von Computersystemen, ber die man Zugang zu greren "Netzwerken" hat. Das knnten Server in Firmennetzen sein, Teile der Internet-Infrastruktur in anderen Staaten oder sogar staatliche Systeme. Auf diesen Computern richten die NSA-Angreifer Hintertren ein, die sie spter einmal ausnutzen knnen.
Hier geht es nicht um gezielte berwachung bestimmter Systeme wegen eines konkreten Verdachts, hier werden Systeme ohne konkreten Anlass unsicherer gemacht. Statt die Betreiber vor Sicherheitslcken zu warnen, nutzt die NSA die Lcken aus, um irgendwann spter einmal auf diesen Rechner zuzugreifen.
So gehen auch Cyberkriminelle vor, die sich ein Bot-Netz zusammenstellen. Rechner mit Hintertren in wichtigen Netzen senken die Sicherheit. Derart infizierte Maschinen lassen sich nicht nur fr das Abhren nutzen, mit den so erlangten Rechten kann man die Systeme auch sabotieren. Und ein Netzwerk von Zehntausenden Rechnern mit Hintertren knnte auch ein talentierter krimineller Hacker bernehmen.
3. Die NSA attackiert Verschlsselungsstandards, statt sie zu strken.
Fast 11 Milliarden Dollar gibt die US-Regierung jhrlich fr Programme zum Knacken von Verschlsselungsstandards aus, berichtet die "Washington Post". 35.000 Angestellte sollen daran arbeiten.
Sollte das stimmen, gibt es weltweit wohl niemanden, der mehr Geld dafr ausgibt, dass die sogenannte "Cryptopocalypse" bald eintritt als die US-Regierung. So haben Sicherheitsforscher den Augenblick benannt, wenn die derzeit wichtigsten Verschlsselungsstandards geknackt sind. Wenn das geschieht, werden heute genutzte Verfahren zum Absichern von E-Commerce, Bankgeschften und Kommunikation obsolet.
So wrde keine Organisation handeln, deren oberstes Ziel die Sicherheit der Infrastruktur einer digitalen Gesellschaft ist.
No hay comentarios:
Publicar un comentario