Für die eigene Spionage genutzt
USA halten Sicherheitslücken in Computersystemen geheim
Die US-Regierung hat bestätigt, dass ihre Geheimdienste neu entdeckte Sicherheitslücken in Computersystemen mitunter für Spionage und Cyber-Angriffe ausnutzen. Es gebe Kriterien, nach denen entschieden werde, ob eine Sicherheitslücke öffentlich gemacht werde oder nicht, erklärte Michael Daniel, der Berater von US-Präsident Barack Obama in Fragen der Cybersicherheit. Er bestätigte damit Informationen, die der ehemalige NSA-Mitarbeiter Edward Snowden enthüllt hatte.
"Eine Schwachstelle offen zu legen, ist normalerweise sinnvoll", schrieb Daniel in einem Blogeintrag auf der Webseite des Weißen Hauses. Denn auch die US-Regierung und die amerikanische Wirtschaft seien unbedingt darauf angewiesen, dass das Internet sicher laufe. Doch wenn sie eine neue Schwachstelle öffentlich machen, würden die US-Geheimdienste eine Möglichkeit zur Spionage auslassen. Durch die Ausnutzung von Sicherheitslücken könnten wichtige Informationen gewonnen werden, schrieb Daniel.
Kriterien für den Umgang mit Schwachstellen
Anhand mehrerer Punkte werde entschieden, ob eine Schwachstelle öffentlich gemacht werden solle. Eine Frage sei, wie weit verbreitet die jeweilige Technologie ist. Das deutet darauf hin, dass eine Lücke eher veröffentlicht wird, wenn viele amerikanische Nutzer und Unternehmen oder die Sicherheitsbehörden des Landes davon betroffen sind. Die US-Regierung überlege auch, ob jemand anderes die Schwachstelle entdecken und ausnutzen könne. Außerdem gebe es die Möglichkeit, eine Schwachstelle erst auszunutzen und später zu veröffentlichen.
Die Praxis der US-Regierung, Sicherheitslücken unter Umständen für eigene Zwecke geheim zu halten, ist umstritten. Kritiker werden den USA vor, damit die Sicherheit der IT-Infrastruktur generell zu gefährden. Das Weiße Haus wies zuletzt Berichte zurück, dass es von der Schwachstelle "Heartbleed" im Voraus gewusst habe. Viele Sicherheitsexperten plädieren dafür, Schwachstellen in Computerprogrammen oder Internettechnologie zu veröffentlichen. Nur so könnten alle Nutzer gewarnt werden. Am Montag warnte das US-Heimatschutzministerium vor einer Sicherheitslücke im Webbrowser Internet Explorer von MicrosoftMicrosoft. (dpa/tö) Alles zu Microsoft auf CIO.de