Wieder einmal steht die US-amerikanische Sicherheitsbehörde NSA im Mittelpunkt der Kritik im Zusammenhang mit ihren Cyberüberwachungsmethoden. Dieses Mal wurde die Behörde wohl selbst von einer Gruppe von Hackern um wichtige Überwachungswerkzeuge erleichtert. Es wird davon ausgegangen, dass die Hackergruppe Shadow Brokers gleich eine ganze Sammlung von NSA-Hackingtools abgreifen konnte. Manche vermuten sogar die Russen hinter diesem Diebstahl. Wie dem auch sei, dieser Fund löst gleich mehrere Fragen zu den NSA-Praktiken aus und die Antworten dazu gehen weit auseinander.

Shadow Brokers behaupten, sie selbst hätten das NSA-Cyberspionage-Team Equation Group gehackt und eine jahrelang aufgebaute Sammlung von verschiedenen Exploits gefunden. Darunter komplizierte Tools zum Überwinden von Netzwerk-Firewalls namhafter Hersteller und auch Tools, mit denen Informationen aus Computersystemen, im wahrsten Sinne des Wortes „abgesaugt“ werden können.

Ihren 300 MB großen, unverschlüsselten Fund, wollen sie im Cyberuntergrund zum Verkauf anbieten an den höchsten Bieter. Startgebot sei 1 Mio. Bitcoins. In der Sammlung befinden sich auch einige brisante Zero-Day-Exploits. Diese Exploits betreffen Softwareschwachstellen der Netzwerkfirmen Cisco, Fortinet, TopSec und Juniper. Insbesondere Fortinet und Cisco hatten es ganz eilig auf diesen Fund zu reagieren und sprachen dringende Warnungen aus. Das lässt darauf schließen, dass es sich bei den gefundenen Schwachstellen tatsächlich um seit Langem nur der NSA bekannte, aber durch zurückgehaltene Zero-Day-Exploits handelt.

Cisco hat seine Kunden bisher nur über zwei Schwachstellen informiert und eine Änderung in der Konfiguration vorgeschlagen. Fortinet riet seinen Kunden, insbesondere ältere Sicherheitssoftware auf den neuesten Stand zu bringen. Cisco bestätigte, dass die Sammlung dem Unternehmen bisher unbekannte Schwachstellen enthielt. Dies lässt darauf schließen, dass die NSA und womöglich auch andere Kriminelle diese seit Jahren ausgenutzt haben.

Jeremiah Grossmann, Sicherheitschef bei SentinelOne sieht die Aufgabe der NSA als einen heiklen Balanceakt zwischen dem Hacken von Staatsfeinden um Bürger zu schützen oder die Bürger vor hackenden Staatsfeinden zu schützen durch Bekanntgabe von Softwareschwachstellen. Und je länger so etwas zurückgehalten wird, desto größer wird die Wahrscheinlichkeit, dass diese Informationen durch Leaks an die Öffentlichkeit gelangen. Grossman ist der Ansicht, dass die Öffentlichkeit darüber generell debattieren sollte, und schlägt vor, dass man der NSA einen gewissen zeitlichen Vorlauf zur Nutzung dieser Exploits geben sollte, bevor sie zum Wohle der Anwender veröffentlicht werden.

Dr. Johannes Ullrich, SANS Sicherheitsexperte kommentierte hierzu, dass nur wenige der veröffentlichten Schwachstellen eigentlich Zero-Day-Schwachstellen seien. Für einige würde es sogar schon seit Jahren Patches geben. Das Problem ist vielmehr, dass dabei gezielt Schwachstellen von Netzwerkgeräten ausgenutzt werden, insbesondere sogenannte Perimeter Protection Geräte, die oft angreifbar sind und auch meisten nicht so gut überwacht werden wie Endpunkte.

Was die Shadow Brokers nun ans Tageslicht gebracht haben, bringt die Praktiken der NSA noch mehr in Verruf. Nicholas Weaver, ein Sicherheitsforscher an der Universität von Berkeley hält die Tatsache, dass die NSA der Öffentlichkeit solche Schwachstellen seit Jahren zurückgehalten hat, als unglaublich schlecht. Andere aus der Branche gehen sogar davon aus, dass der Kongress ein Untersuchungsverfahren zu diesem Vorgehen einleiten wird, und sind der Ansicht, dass die öffentliche Meinung zur Freigabe von solche Informationen hinterfragt werden sollte.

Insbesondere Cisco hatte nach den Veröffentlichungen von Edward Snowden 2014 damit zu kämpfen, dass die NSA offensichtlich ganze Cisco-Lieferungen abfängt, um Spionagesoftware aufzuspielen vor Auslieferung an Kunden. Der damalige Vorstandsvorsitzende John Chambers äußerste sich sehr erbost über dieses Vorgehen. Sein Unternehmen könne nicht so arbeiten. Es müsse Verhaltensregeln geben, die von der NSA und dem globalen Handel gleichermaßen einhalten werden und Nutzen bringen würde.

Im selben Jahr wies die Obama Regierung die NSA an, Sicherheitsschwachstellen zu veröffentlichen, wenn sie entdeckt würden. Jedoch dürften sie zurückgehalten werden, wenn sie eindeutig der Nationalen Sicherheit und der Strafverfolgung dienen. Dieser Prozess heißt offiziell „Equities Review“ und hilft der US-Regierung abzuwägen, wann welche Sicherheitsprobleme an die zuständigen Unternehmen weiter gegeben werden nach Aufdeckung. Doch es wurde festgestellt, dass der Prozess nicht ganz durchsichtig ist. Kritiker vermuteten schon seit längerer Zeit, dass die NSA, sich dadurch einen schönen geheimen Schnüffel-Werkzeugkasten angelegen konnte.

Dave Aitel, Inhaber von ImmunitySec verteidigt das aktuelle NSA-Vorgehen aufgrund dieser Anweisung. Demnach bräuchte die NSA genau solche Möglichkeiten um ihre Arbeit zu machen. Das sei „Grundvoraussetzungen für die heutige Geheimdienstarbeit und wir müssen uns einfach daran gewöhnen“. Anzumerken ist an dieser Stelle, dass Aitel früher als Analyst für die NSA gearbeitet hat.

Doch die überwiegende Mehrheit ist anderer Meinung. Snowden und Weaver vermuten sogar, dass Russland hinter dem Diebstahl steht, obwohl es bis jetzt noch keine offiziellen Beweise dafür gibt. Snowden erklärte, dass es durchaus Sinn machen würde, um von US-Anschuldigungen gegen sie abzulenken und den Fokus eher auf die Amerikaner zu lenken. Beispielsweise auch, um andere zu warnen, dass die Einzigen, die Werkzeuge auf ihren Servern für gewisse Angriffe hätten, die NSA-Spione seien. WikiLeaks unterstützte diese These und gab bekannt eine komplette Kopie der NSA-Tools zu haben und zu veröffentlichen. Wenn die USA verantwortlich für Spionage auf Mitglieder der eigenen Allianz sind, hätte das ziemlich verheerende diplomatische Auswirkungen, schlussfolgerte Snowden.

Siehe auch: Kann Sicherheitssoftware nach dem NSA-Hack noch vertraut werden?

Artikel von wired.com, 17.08.2016: The Shadow Brokers Mess Is What Happens When the NSA Hoards Zero-Days
Artikel von washingtonpost.com, 17.08.2016: NSA hacking tools were leaked online. Here’s what you need to know.