Laut einem Spezialbericht der Nachrichtenagentur Reuters ist die US Regierung der größte Abnehmer von Schadsoftware. Der Fokus der Cyber-Sicherheitsstrategie ist die Offensive und nicht die Verteidigung. Experten warnen vor Irrweg und Gegenschlägen.

Erst vor kurzem hat die US-Regierung eine neue Gesetzgebung mit dem Befehl der verbesserten und schnelleren Information über Sicherheitslücken herausgegeben. Doch wie es scheint, hält sie sich selbst nicht daran. Statt dessen ist sie sogar daran interessiert, Sicherheitslücken geheim zu halten. Grund ist die Offensivstrategie, mit welcher sie Hackern und anderen Gegenspielern zuvorkommen oder entgegnen möchte.

Ein Beispiel ist der bekannte Wurm Stuxnet. Diese Malware hatte sich durch Computersysteme weltweit bis zur iranichen Nuklearanlage gegraben auf der Suche nach einem speziell konfigurierten Programm. Dort legte es dann die mit Uranium angereicherten Zentrifugen lahm. Nach langwieriger Analyse kam heraus, dass das Programm die Handschrift der US-Regierung trug. Diese Annahme wurde durch Lob aus Washington zu den Resultaten des Wurms bestätigt. Die US-Regierung gab eine Teilnahme an der Entwicklung jedoch nicht direkt zu.

Da viele Softwarehersteller nicht bereit sind, in die Schließung von Lücken zu investieren, entstehen immer mehr Firmen, die statt Lösungen Zero-Day-Malware verkaufen. Diese wird meist über Zwischenhändler anonym an die Endkunden weiterverkauft. Dadurch ist nicht klar, wer am Ende die Hackerinstrumente in Händen hält. Aussagen ehemaliger Mitarbeiter von US-Verteidigungsabteilungen und der staatlichen Cybersicherheitsgremien bestätigen die Abnahme von Malware durch die US Regierung. Auch die Weiterentwicklung wurde in großem Stil betrieben.

Das Problem ist, dass die Regierung mit dieser Nutzung der Steuergelder nicht die Sicherheit im eigenen Land verbessert. Wenn die US-Regierung um eine Sicherheitslücke in Software weiß, dann ist

„its first obligation [ ] to tell the U.S. public“,

so Richard Clarke, ehemaliger Berater für Cybersicherheit im Weißen Haus. Kommt die Regierung dieser Pflicht nicht nach, so lässt sie Unternehmen und Bürger den Cyberangriffen ausgeliefert.

Die Malware, welche zur Offensive eingesetzt wird, kann von Programmierern angepasst werden und im Gegenzug gegen die USA eingesetzt werden. Außerdem sind die Lücken in den Programmen oft nicht lange geheim, da andere Regierungen oder Hacker ebenfalls stets auf der Suche nach Angriffsmöglichkeiten sind.

Nach der Aussage des Sicherheitsexperten John Pescatore von SANS ist die Aussage jedoch irreführend. Denn so wie medizinische Konzerne die größten Abnehmer von Opiaten sind, kauft die US-Regierung für die Abwehr bekannte Angriffssoftware.

Artikel von zdnet.com, 13.05.2013: U.S. government becomes ‚biggest buyer‘ of malware
Artikel von reuters.com, 10.05.2013: Special Report: U.S. cyberwar strategy stokes fear of blowback