Zum Inhalt springen

So gefährdet die NSA die Internetsicherheit

Konrad Lischka
Konrad Lischka
3 minuten gelesen
So gefährdet die NSA die Internetsicherheit

Umstrittene Methoden, aber ein gutes Ziel: Lange galt die NSA in der Technologiebranche als Kämpfer für sichere Infrastruktur. Das war ein Irrglaube. Die neusten Snowden-Enthüllungen zeigen: Die NSA gefährdet die Sicherheit, wenn es ihren Zielen dient.

Spiegel Online, 02.09.2013

Der US-Geheimdienst NSA hat bislang einen merkwürdigen, aber gar nicht so schlechten Ruf in der Technologiebranche. Es gibt wenig grundsätzliche Ablehnung, die NSA-Entwickler gelten als fähig, ihre Motivation und die übergeordneten Ziele ihres Dienstes sieht kaum jemand als grundlegend böse an. Konsens war bis heute: Auch wenn man über einige Aktionen streiten kann, grundsätzlich will die NSA dasselbe wie westliche IT-Firmen und die Nutzer: ein sicheres Netz, eine geschützte Infrastruktur.

Deshalb arbeiten NSA-Mitarbeiter seit Jahren an der Infrastruktur der digitalen Gesellschaft mit, ohne dass jemand die Rolle ihrer Behörde dabei in Frage stellt. Ihr Rat, ihre Expertise und ihr Code sind geschätzt:

  • Als Google vor drei Jahren angeblich von chinesischen Hackern angegriffen wurde, holte sich der Konzern Hilfe bei der NSA.
  • Bei renommierten Sicherheitskonferenzen wie der Black Hat traten NSA-Mitarbeiter als Redner und Gäste auf.
  • NSA-Angestellte arbeiten bei der Internetstandardisierung der Internet Engineering Task Force mit.
  • Ein bei der NSA entwickelter Code ist Teil einer Sicherheitserweiterung des Linux-Kernels.
  • Von der NSA entwickelte Sicherheitsfunktionen sind inzwischen Teil von Googles Android-System.

All diese NSA-Entwicklungen haben die Sicherheit der Systeme wahrscheinlich wirklich verbessert. Doch angesichts der neuesten Snowden-Enthüllungen über die Angriffe der NSA auf grundlegende Netz-Infrastruktur muss man die Rolle des Geheimdienstes neu bewerten. Die NSA macht das Netz insgesamt nicht sicherer, im Gegenteil.

1. Die NSA kauft Sicherheitslücken für Angriffe, statt sie zu veröffentlichen.

Laut “Washington Post” kauft die NSA verdeckt auf dem Graumarkt Sicherheitslücken für ihre Angriffe auf Computersysteme. Mehr als 25 Millionen Dollar sollen in diesem Jahr dafür ausgegeben werden. Dieser Handel mit bislang unbekannten Sicherheitslücken ist in vielerlei Hinsicht problematisch.

Hier gibt es einen Interessenkonflikt: Die NSA kauft sich einen Informationsvorsprung, wenn sie als erster Käufer von bislang unbekannten Lücken in weit verbreiteter Software erfährt. Wenn die NSA dagegen unmittelbar die Hersteller und die Fachwelt warnt, verliert sie ihren Informationsvorsprung.

Es wird kaum im Sinne der NSA sein, dass die Lücken gestopft werden, bevor der Geheimdienst sie für Angriffe ausgenutzt und verwundbare Systeme übernommen hat. Hier gibt es einen Widerspruch zwischen mehr Sicherheit im Netz und dem Interesse der US-Regierung an erfolgreichen Cyberangriffen der NSA.

2. NSA infiziert weltweit Infrastruktur mit Schläferprogrammen, statt sie zu schützen.

Ende dieses Jahres sollen weltweit mindestens 85.000 Systeme mit NSA-Trojanern infiziert sein, das sieht ein geheimer Haushaltsplan vor, den die “Washington Post” zitiert. Welche Systeme die NSA dabei genau im Visier hat, verrät das Dokument nicht. Aber es dürften kaum einfache Heimrechner sein, die Rede ist von Computersystemen, über die man Zugang zu größeren “Netzwerken” hat. Das könnten Server in Firmennetzen sein, Teile der Internet-Infrastruktur in anderen Staaten oder sogar staatliche Systeme. Auf diesen Computern richten die NSA-Angreifer Hintertüren ein, die sie später einmal ausnutzen können.

Hier geht es nicht um gezielte Überwachung bestimmter Systeme wegen eines konkreten Verdachts, hier werden Systeme ohne konkreten Anlass unsicherer gemacht. Statt die Betreiber vor Sicherheitslücken zu warnen, nutzt die NSA die Lücken aus, um irgendwann später einmal auf diesen Rechner zuzugreifen.

So gehen auch Cyberkriminelle vor, die sich ein Bot-Netz zusammenstellen. Rechner mit Hintertüren in wichtigen Netzen senken die Sicherheit. Derart infizierte Maschinen lassen sich nicht nur für das Abhören nutzen, mit den so erlangten Rechten kann man die Systeme auch sabotieren. Und ein Netzwerk von Zehntausenden Rechnern mit Hintertüren könnte auch ein talentierter krimineller Hacker übernehmen.

3. Die NSA attackiert Verschlüsselungsstandards, statt sie zu stärken.

Fast elf Milliarden Dollar gibt die US-Regierung jährlich für Programme zum Knacken von Verschlüsselungsstandards aus, berichtet die “Washington Post“. 35.000 Angestellte sollen daran arbeiten.

Sollte das stimmen, gibt es weltweit wohl niemanden, der mehr Geld dafür ausgibt, dass die sogenannte “Cryptopocalypse” bald eintritt, als die US-Regierung. So haben Sicherheitsforscher den Augenblick benannt, wenn die derzeit wichtigsten Verschlüsselungsstandards geknackt sind. Wenn das geschieht, werden heute genutzte Verfahren zum Absichern von E-Commerce, Bankgeschäften und Kommunikation obsolet.

So würde keine Organisation handeln, deren oberstes Ziel die Sicherheit der Infrastruktur einer digitalen Gesellschaft ist.

Konrad Lischka

Projektmanagement, Kommunikations- und Politikberatung für gemeinnützige Organisationen und öffentliche Verwaltung. Privat: Bloggen über Software und Gesellschaft. Studien, Vorträge + Ehrenamt.
Immer gut: Newsletter abonnieren


auch interessant

Wer investiert in die Zukunft, wenn alle sparen?

Der common senf aktueller Debatten um Staatsausgaben, Tarifverhandlungen und Zinspolitik scheint mir gerade ein gefährlicher: Alle sollen sparen. Der Staat soll weniger ausgeben und damit der Gesamtwirtschaft Geld entziehen. Arbeitnehmer sollen Reallohnverluste akzeptieren, sparen und damit der Gesamtwirtschaft Geld entziehen. Und Unternehmen sollen sparen, bloß keine Kredite aufnehmen für Investitionen

Wer investiert in die Zukunft, wenn alle sparen?

Paradox der Gegenwart

Einerseits sehen so viele Menschen ihre individuellen (Konsum)Bedürfnisse als das wichtigste Gut, als absolut schützenswert. Überspitzte Maxime: Was ich will, ist heilig – alles geht vom Individuum aus. Andererseits erscheint genauso viele Menschen das Individuum ganz klein, wenn es darum geht, etwas zu verändern in der Welt. Überspitzte Maxime: Ich

Paradox der Gegenwart

Wie Schmecken funktioniert

Gelernt: Geschmack und Aroma sind zwei ganz unterschiedliche Wahrnehmungen. Für jede ist ein anderer Teil im Gehirn verantwortlich. Und jede basiert auf unterschiedlichen Daten: Für den Geschmack kommen Eindrücke von der Zunge, fürs Aroma von Rezeptoren in der Nase. Beides vermischt das Gehirn zum Gesamteindruck Schmecken. Sehr lesenswerter Aufsatz darüber

Wie Schmecken funktioniert