Der ehemalige NSA-Chef Keith Alexander hat sich in einem ausführlichen Interview mit der Australian Financial Review erstmals öffentlich über sogenannte Zero-Day-Exploits geäußert. Damit wird das Ausnutzen einer Sicherheitslücke kurz nach deren Entdecken bezeichnet, oft wissen Herstellerfirmen oder Kunden zu diesem Zeitpunkt nicht einmal über die Schwachstelle Bescheid.

Verschlüsselung allgegenwärtig

"Unsere Aufgabe ist es, Code zu knacken", so Alexander, der auf die Enigma-Verschlüsselungsmaschine der Nazis verweist. Während früher lediglich militärische Kommunikation verschlüsselt wurde, sei Verschlüsselung mittlerweile allgegenwärtig, so der ehemalige Geheimdienstchef.

Er gesteht allerdings ein, dass die NSA eine schwierige Doppelrolle zu bewältigen habe, da der Militärgeheimdienst ja auch für die Defensive zuständig sei – also genau solche Zero-Day-Exploits eigentlich verhindern sollte, sofern sie US-amerikanische Nutzer betreffen. Hier besteht Alexander darauf, dass für die NSA der Schutz von US-Kommunikation wichtiger als das Ausnutzen einer Lücke für Spionagezwecke sei.

"Herstellerfirmen informiert"

"In vielen Fällen hat die NSA Kommunikationssicherheit erhöht und Herstellerfirmen über Bugs informiert", so Alexander. Es ist allerdings bekannt, dass die NSA selbst aktiv versucht hat, solche Schwachstellen in Software zu platzieren. Daher sind Alexanders Aussagen mit Vorsicht zu genießen, wie Wired analysiert.

Heartbleed Anlass zu Diskussion

Inwiefern die NSA Sicherheitslücken ausnutzen darf, war kürzlich im Zuge der Heartbleed-Schwachstelle diskutiert worden. Es hatte Spekulationen gegeben, dass die NSA schon länger über die kritische Lücke in der Verschlüsselungssoftware OpenSSL Bescheid gewusst habe, was der Militärgeheimdienst dementierte.

Sicherheitsberater des US-Präsidenten Obama hatten vorgeschlagen, dass die NSA jegliche Sicherheitslücken sofort melden müsse. Der US-Präsident hatte aber darauf bestanden, Ausnahmen zu erlauben, wenn eindeutig Ziele der nationalen Sicherheit oder Strafverfolgung durch Zero-Day-Exploits erreichbar wären. (fsc, derStandard.at, 9.5.2014)