NSA und die Heartbleed-Lücke Wucht des Misstrauens

NSA-Hauptquartier in Fort Meade, Maryland

(Foto: dpa)

Wer lügt, wer sagt die Wahrheit? Ungenannte Quellen behaupten, dass die NSA die Heartbleed-Lücke schon seit zwei Jahren kannte und auch ausnutzte. Der US-Geheimdienstchef lässt umgehend dementieren. Doch die Vorwürfe könnten Amerikas Auslandsgeheimdienst in seine bislang größte Krise stürzen.

Von Johannes Kuhn, San Francisco

Kein Beweis existiert, nur die Aussagen zweier "mit der Angelegenheit vertrauter Personen". Und ein scharfes Dementi aus dem Büro des Nationalen Geheimdienstdirektors. Doch der Vorwurf ist in der Welt, und er wiegt schwer: Die NSA soll nicht nur seit mindestens zwei Jahren vom jüngst gefundenen Heartbleed-Bug gewusst haben, sie soll ihn sogar zur Spionage ausgenutzt haben.

So hat es der Bloomberg-Journalist Michael Riley aufgeschrieben und damit nicht nur Fragen aufgeworfen, sondern Abgründe aufgerissen. Sollten seine beiden nicht genannten Quellen die Wahrheit gesagt haben, wäre die NSA nicht nur beschädigt; sie wäre in ihrer jetzigen Form womöglich der Existenzberechtigung beraubt.

"Wir beschützen die Informationen und die Informationstechnologien, die für die US-Interessen essenziell sind." So hat die NSA eines ihrer zentralen Ziele formuliert (pdf). Doch der Heartbleed-Bug im Verschlüsselungssystem OpenSSL gefährdete potenziell Millionen Amerikaner, Tausende Online-Geschäfte und sogar die Informationen auf Regierungsseiten, die mit der Technik arbeiten. Die NSA hätte also die Privatsphäre und Datensicherheit ihrer eigenen Bürger massiv gefährdet, um mit der Lücke ihrem Spionagegeschäft nachzugehen.

Hartes Dement, angekratzte Glaubwürdigkeit

Ein größerer Vorwurf lässt sich kaum erheben. Schnell kam deshalb das ausführliche Dementi: Die NSA habe erst mit der Öffentlichkeit von Heartbleed erfahren, heißt es in einer Stellungnahme aus dem Büro des noch amtierenden US-Geheimdienstdirektors James Clapper. "Es ist im nationalen Interesse, Sicherheitslücken bekannt zu machen, statt sie für Ermittlungen oder geheimdienstliche Zwecke für sich zu behalten." Dies sei die Regel, wenn nicht Gründe der Strafverfolgung oder nationalen Sicherheit dagegen sprächen.

Für die NSA geht es um ihre Glaubwürdigkeit - doch die ist seit der Enthüllung ihrer gigantischen Spionage-Aktivitäten ohnehin angekratzt. Immerhin hatten Vertreter des Geheimdienstes den US-Kongress zu den Datensammel-Programmen zunächst belogen. Und auch im aktuellen Fall, so argumentieren Skeptiker, dürfte die NSA ein Programm zur Ausnutzung von Heartbleed aus Gründen der Geheimhaltung überhaupt nicht bestätigen.

Dass die NSA mit Sicherheitslücken arbeitet, um in fremde Computer einzudringen, ist seit den Snowden-Enthüllungen bekannt. Bloomberg-Reporter Riley schreibt unter Berufung auf einen unbekannten Insider, dass der Geheimdienst derzeit Tausende solcher Software-Fehler kenne, mit denen er sich Zugriff auf Rechner verschaffen könne.

Wer steckte hinter dem Botnetz?

Beweisen lassen sich die Vorwürfe allerdings nicht. Anders als im Fall Snowden liegen keine Dokumente vor. Wenn der NSA-Whistleblower Informationen über die Ausnutzung der OpenSSL-Lücke weitergegeben haben sollte, wurden diese noch nicht publiziert. Die Geschichte steht und fällt mit der Glaubwürdigkeit ihres Autors und seiner beiden Quellen.

Erkenntnisse der Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) und von IT-Sicherheitsexperten zeigen, dass zumindest irgendjemand bereits von der Lücke wusste, bevor sie vor wenigen Tagen bekannt wurde: Demnach habe ein Botnetz aus gekaperten Computern Heartbleed im November 2013 auszunutzen versucht, um Chats abzuhören. Eine solche Aktivität ergebe mehr Sinn für Geheimdienste als für kommerzielle Interessen von Online-Kriminellen, mutmaßte die EFF.

"Es ist schwer, sich als Technologie-Firma nicht so zu fühlen, als führe man Krieg mit der Regierung", twitterte Matthew Prince, Chef des Servernetzwerks CloudFlare. Das Misstrauen ist groß - und es sieht nicht so aus, als würde es sich so einfach aus der Welt schaffen lassen.