Der Vorwurf ist in der Welt, und er wiegt schwer: Die NSA soll nicht nur seit mindestens zwei Jahren von der jüngst gefundenen Sicherheitslücke im Internet gewusst haben, sie soll diese sogar zur Spionage ausgenutzt haben. So hat es der Bloomberg-Journalist Michael Riley aufgeschrieben und damit nicht nur Fragen aufgeworfen, sondern Abgründe aufgerissen. Sollten seine beiden nicht genannten Quellen die Wahrheit gesagt haben, wäre die NSA nicht nur beschädigt; sie wäre in ihrer jetzigen Form der Existenzberechtigung beraubt.
"Wir beschützen die Informationen und die Informationstechnologien, die für die US-Interessen essenziell sind." So hat die NSA eines ihrer zentralen Ziele formuliert.
Doch die in der vergangenen Woche öffentlich gewordene Sicherheitslücke namens Heartbleed sorgt dafür, dass Angreifer die Verschlüsselung aushebeln und so vermeintlich geschützte Daten abgreifen können. Sie gefährdet also Millionen Amerikaner, Tausende Online-Geschäfte und sogar die Informationen auf Regierungsseiten, die mit der Technik arbeiten. Die NSA hätte somit die Privatsphäre und Sicherheit ihrer eigenen Bürger massiv gefährdet, um ihrem Spionagegeschäft nachzugehen. Ein größerer Vorwurf lässt sich kaum erheben.
Binnen Stunden kam deshalb das ausführliche Dementi: Die NSA habe erst mit der Öffentlichkeit von Heartbleed erfahren, heißt es in einer Stellungnahme. "Es ist im nationalen Interesse, Sicherheitslücken bekannt zu machen, statt sie für Ermittlungen oder geheimdienstliche Zwecke für sich zu behalten." Dies sei die Regel, wenn nicht Gründe der Strafverfolgung oder nationalen Sicherheit dagegen sprächen. Wann solche Gründe vorliegen, ist allerdings Auslegungssache. So hat US-Präsident Barack Obama dem Geheimdienst zugestanden, Sicherheitslücken im Internet unter gewissen Umständen verschweigen und ausnutzen zu dürfen - etwa zur Strafverfolgung und zur Wahrung der nationalen Sicherheit. Dies berichtet die New York Times unter Berufung auf Regierungsbeamte. Die Angelegenheit ist ein Teil der von Obama angestoßenen, aber bislang nicht näher erläuterten Reform der Befugnisse des Geheimdienstes.
Tausende Sicherheitslücken bekannt?
Für die NSA geht es um ihre Glaubwürdigkeit, die seit den Enthüllungen des ehemaligen Mitarbeiters Edward Snowden angekratzt ist. Eine Erkenntnis, die der Whistleblower zu Tage gebracht hat: Die NSA arbeitet durchaus mit Sicherheitslücken, um in fremde Computer einzudringen. Im aktuellen Fall, so argumentieren Skeptiker, dürfte die NSA ein Programm zur Ausnutzung von Heartbleed aus Gründen der Geheimhaltung überhaupt nicht bestätigen.
Bloomberg-Reporter Riley schreibt unter Berufung auf einen unbekannten Insider, dass der Geheimdienst derzeit Tausende solcher Software-Fehler kenne, mit denen er sich Zugriff auf Rechner verschaffen könne. Beweisen lassen sich die Vorwürfe allerdings nicht. Anders als im Fall Snowden liegen keine Dokumente vor. Die Geschichte steht und fällt mit der Glaubwürdigkeit ihres Autors und seiner beiden Quellen. Erkenntnisse der Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) und von Sicherheitsexperten zeigen, dass zumindest irgendjemand bereits von der Lücke wusste, bevor sie vor wenigen Tagen bekannt wurde: Demnach habe ein Netz aus gekaperten Computern Heartbleed im November 2013 auszunutzen versucht, um Chats abzuhören. Eine solche Aktivität ergebe mehr Sinn für Geheimdienste als für kommerzielle Interessen von Online-Kriminellen, mutmaßte die EFF. Das Misstrauen ist groß. Und es sieht nicht so aus, als würde es sich so einfach aus der Welt schaffen lassen.