Dürfen Geheimdienste Sicherheitslücken verschweigen?

"Wenn der amerikanische Geheimdienst (NSA) seine Hacking-Werkzeuge nicht schützen kann, wie soll das dem Nachrichtendienst des Bundes gelingen, bei dem Mitarbeiter Festplatten mit geheimen Daten raustragen können?" Dies schreibt Stefan Thöni, Co-Präsident der Piratenpartei Schweiz als Reaktion auf den Hacker-Angriff auf die NSA. Eine ähnliche Frage wirft der im Frühjahr bekannt gewordene Cyberangriff auf den Schweizer Rüstungskonzern Ruag auf. Das Netzwerk des bundeseigenen Konzerns war über Jahre hinweg infiziert und es ist unklar, welche Daten gestohlen worden sind. Schnittstellen zur Armee und zum VBS machen die Sache noch pikanter. Sollten also Regierungen respektive Geheimdienste ihnen bekannte Sicherheitslücken verschweigen dürfen, um diese für Ermittlungen zu verwenden?
 
In den vergangenen Tagen wurde bekannt, dass dem amerikanische Geheimdienst Software geklaut wurde. Von einer Shadow Brokers genannten Gruppe wurde Code veröffentlicht, mit der sich Firewalls verschiedener knacken lassen. Der Angriff fand Berichten zufolge schon 2013 statt. Die Security-Experten Bruce Schneier und Nicholas Weaver haben einem Bericht der 'NZZ' zufolge bestätigt, dass die Software von der NSA stammt. Der Geheimdienst selbst hat sich noch nicht dazu geäussert.
 
Auch 'Wired' wirft die Frage auf, wie Geheimdienste mit Schwachstellen und konkret mit Zero-Day-Lücken umgehen sollen. Behalten sie diese und nutzen sie sie aus, um auf PCs zugreifen und in fremde Netzwerke eindringen zu können? So riskieren sie, wenn sie selbst angegriffen werden, dass diese Codes in falsche Hände gelangen. Gleichzeitig gibt es tausende oder hunderttausende von Nutzern, die potentiell angreifbar sind. So angeblich geschehen bei der Heartbleed-Lücke. Die schwerwiegende Schwachstelle sei der NSA gemäss mindestens zwei Jahre lang bekannt gewesen, berichtete damals 'Bloomberg'. Die NSA dementierte dies.
 
Mehrere Hersteller betroffen
Im aktuellen Fall geht es um Schadsoftware, mit der die Firewall- und Netzwerkprodukte der Hersteller Cisco und Fortinet angegriffen werden kann. Auch Juniper und der chinesische Hersteller TopSec tauchen in den von Shadow Brokers veröffentlichten Dokumente auf.
 
Cisco schrieb in einer Stellungnahme, dass das Unternehmen nicht von der NSA informiert worden sei und, dass man aufgrund von Medienberichten auf die kursierende Schadsoftware aufmerksam geworden sei. Anschliessende Tests hätten zwei Fehler bei den Cisco Adaptive Security Appliances (ASA) gezeigt. Eine der Lücken, im Active Directory als "Epicbanana" gelistet, sei bereits 2011 geschlossen worden. Eine weitere Lücke, "Extrabacon", klaffte seit 2013 und wurde diese Woche gestopft. Diese Schwachstelle ermöglichte es Angreifern, auf die Firewall zuzugreifen, ohne Nutzername und Passwort einzugeben. Auch Fortinet bestätigt die Security-Schwachstelle, die es ermöglichte, die vollständige Kontrolle über die Firewall zu übernehmen. Betroffen seien jedoch nur Geräte von 2012 und älter. Geräte ab der Firmware-Version 5.0 seien nicht betroffen.
 
Schlupflöcher für NSA
Schon 2014 wurde die Frage, ob die NSA einen Hersteller über eine Sicherheitslücke informieren muss, diskutiert. Damals sagte US-Präsident Barack Obama, Behörden müssten sicherstellen, dass schwerwiegende Sicherheitslücken geschlossen werden. Sie sollten diese also nicht verheimlichen, um für Ermittlungen verwenden zu können. Wie die 'New York Times' damals schrieb, folgte aber sogleich die Ausnahme. Nämlich wenn es um die "nationale Sicherheit" geht und die Lücke der "Gesetzesvollstreckung dient", könne die NSA die Schwachstelle behalten. Ein ehemaliger Analyst der NSA schreibt gemäss 'Wired', dass solche Lücken das tägliche Brot der Behörde seien. Ohne Software, um Schwachstellen etwa bei Cisco auszunützen, könnte man weder Terrorbewegungen noch Aktivitäten in Russland oder China beobachten", ist er überzeugt. (kjo)