Die NSA hat auf Kritik reagiert, Informationen zu Zero-Day-Lücken weitgehend systematisch zurückzuhalten werden. Dem Geheimdienst wird vorgeworfen, dadurch Unternehmen für Hackerangriffe anfällig zu lassen. Nach eigenen Angaben meldet die NSA 91 Prozent dieser Sicherheitslücken. Allerdings verschweigt der Geheimdienst, wann Unternehmen davon informiert werden.

Topkäufer von Zero-Day-Lücken

Bei Zero-Day-Lücken handelt es sich um Schwachstellen, für die Entwickler noch keine Sicherheitsupdates veröffentlichen konnten. Viele sind daher sehr gefährlich und bilden den Boden für ein lukratives Geschäft, das gleichermaßen Hacker und Regierungsorganisationen bedient. Die NSA gehört früheren Berichten zufolge zu den Topkäufern solcher Lücken. Gleichzeitig sucht der Geheimdienst auch selbst nach solchen Lücken, um sie für Spionagezwecke auszunutzen.

Neun Prozent aller Lücken meldet die NSA nach eigenen Angaben also nicht, 91 Prozent werden bekannt gemacht. Aber selbst in diesen Fällen ist nicht klar, wann der Geheimdienst die Entwickler informiert. Wie ein früherer Mitarbeiter des Weißen Hauses zu Reuters sagt, könne man von ausgehen, dass die meisten dieser Lücken bereits von der NSA ausgenutzt wurden, bevor die Unternehmen informiert wurden. Auch der Schutz geistigen Eigentums der USA wird genannt oder das Risiko durch bestimmte Lücken auf noch gefährlichere Schwachstellen zu stoßen.

"Legitime" Situationen, um Lücken zurückzuhalten

Auf ihrer Website führt die NSA Vor- und Nachteile aus, Informationen über solche Lücken preiszugeben. Im den meisten Fällen sei das "verantwortungsvolle Bekanntmachen einer neu entdecken Schwachstelle eindeutig im nationalen Interesse". Es gebe aber auch legitime Situationen, in denen solche Informationen zurückgehalten werden könnten. Indem man eine Sicherheitslücke aufdeckt, könnte der Geheimdienst die Chance verpassen, "ausschlaggebende Informationen aus dem Ausland" zu sammeln, mit denen beispielsweise terroristische Attacken vereitelt werden könnten.

Unternehmen wie Mozilla kritisieren am Vorgehen der NSA, dass die Gefahr wachse, je länger eine Lücke von den Entwicklern unerkannt bleibe. Denn dadurch erhöhe sich das Risiko, dass auch Hacker oder fremde Geheimdienste auf die Schwachstelle stoßen und sie ausnutzen. (br, 9.11.2015)