Heartbleed (OpenSSL Lücke) und die NSA

Was schon viele Kritiker (ChaosComputerClub, Jakob Applebaum, u.v.m.) ansprachen wurde nun wieder einmal eindrücklich offenbart: Die Internet-Überwacher lassen absichtlich entdeckte Fehler in Programmen wie Windows, Mac, iOS u.v.m. offen. Dieses mal zeigt sich dies besonders gravierend bei der OpenSSL Sicherheitslücke mit dem Namen “Heartbleed” offen.

Anstatt, dass sie die Öffentlichkeit oder Entwickler bei Entdeckung informieren, nutzen sie die Lücken für sich – und Kriminelle gleichwohl. Dies schadet der Sicherheit, hat aber den netten Vorteil für die Überwacher, erst ihre Existenzberechtigung zu schaffen – oder zumindest zu bestärken. Man kann jetzt lang und breit darüber lamentieren ob dies “richtig” oder “falsch” ist. Immerhin könnten die Überwacher wie üblich behaupten, der Wissensvorsprung um Sicherheitslücken habe in der Summe mehr Sicherheit geschaffen durch verhinderte Terrorangriffe (Lacher unbeabsichtigt, 1). So liegt der Fall aber nunmal nicht. Stattdessen weiss die “NSA” ganz genau, dass es falsch ist sowas zu tun. Deswegen dementierte sie zuerst, von der OpenSSL Sicherheitslücke “Heartbleed” gewusst zu haben (weiterer, unbeabsichtiger Lacher), anstatt es zuzugeben. Das Kleinkind wurde also wieder beim Lügen erwischt. Zusammengefasst durch computerbase.de:

Wie der Branchendienst Bloomberg unter Berufung auf zwei mit der Materie vertrauten Personen berichtet, wusste die NSA seit mindestens zwei Jahren über die jetzt als Heartbleed bezeichnete Lücke in der Kommunikation zwischen Servern Bescheid. Eine E-Mail aus dem Büro des Direktors der Geheimdienste leugnet eine Kenntnis vor 2014 jedoch. Die Kenntnis dieser Lücke ermöglichte der Agentur die Beschaffung von Passwörtern und anderen sensiblen Daten, die sie braucht, um ihre Lauschaktionen durchzuführen und Netzwerke zu unterwandern. Die Praxis, solche Lücken geheim zu halten und auszunutzen anstatt sie abzustellen, ist übliche Vorgehensweise, wenn auch sehr kontrovers diskutiert. Die jeweilige Sicherheitslage entscheide über die Vorgehensweise, die beim Direktor der Agentur festgelegt wird.

– JAS

Tagged , ,

Leave a Reply

Your email address will not be published. Required fields are marked *