IT-Sicherheit:Wie die NSA das "S" im Namen gefährdet

National Security Agency (NSA)

Hier hackt's: das Hauptquartier der NSA in Fort Meade, Maryland

(Foto: National Security Agency/dpa)
  • Zur Aufgabe der NSA gehört neben der Spionage auch, amerikanische Computersysteme zu schützen. Doch die NSA hält Sicherheitslücken geheim - und gefährdet so die eigenen Bürger, warnen Kritiker.
  • Der Geheimdienst versucht nun, mit einer Statistik den Vorwurf zu entkräften. Doch Zweifel bleiben.

Von Hakan Tanriverdi, New York

Die NSA hat im Ausland ein Imageproblem. Der US-Geheimdienst ist seit den Snowden-Enthüllungen das globale Symbol für Überwachungswahn. Die NSA versucht deswegen derzeit, für sich zu werben. Michael Rogers, der Chef der NSA, geht auf Tour und sucht die öffentliche Debatte. Seine Verteidigungsstrategie: Er betont das "S" in NSA.

Ausgeschrieben heißt der Nachrichtendienst National Security Agency, also Nationale Sicherheitsagentur. Zur offiziellen Aufgabe der NSA gehört neben der Spionage nämlich auch, wichtige technische Infrastruktur abzusichern. Dafür spüren ihre Mitarbeiter Sicherheitslücken auf - und geben diese Informationen an die betroffenen Unternehmen weiter. Die können ihre Produkte dann aktualisieren und die Einfallstore für fremde Hacker schließen. Die Welt wird für Internetnutzer und ihre Daten so im Idealfall ein bisschen sicherer.

Nur: Viele Menschen glauben der NSA nicht. Sie fürchten, dass die NSA zwar Sicherheitslücken findet - dieses Wissen dann aber für sich behält, um ausländische Ziele zu attackieren. So soll es beim Stuxnet-Angriff gelaufen sein, der Irans Nuklearprogramm ausgebremst hat. Der Hackerangriff auf die Atomzentrifugen wird der USA zugeschrieben. Die NSA soll 2000 geheimer IT-Schlupflöcher kennen, schreibt der Journalist Shane Harris in seinem Buch "@War".

Diesem Vorwurf tritt Rogers nun entgegen. Seine Behörde habe dieses Jahr in 91 Prozent der Fälle Informationen über Schwachstellen an betroffene Firmen weitergegeben, sagte er bei einem Auftritt an der Columbia University in New York (hier als Video, ab Minute 53).

Was ist mit den übrigen neun Prozent?

Er wiederholt damit eine Zahl, die auch auf der NSA-Webseite steht. Dort heißt es allerdings, die NSA habe in ihrer gesamten Geschichte 91 Prozent der gefundenen Lücken gemeldet. Wie viele es dieses Jahr gewesen sein sollen, steht dort nicht.

Und was ist mit den übrigen neun Prozent? Entweder hätten die Hersteller in diesen Fällen die Lücke schon selbst gekannt, sagt Rogers. Oder die NSA habe die Informationen extra nicht weitergegeben - "aus Gründen der nationalen Sicherheit".

Die NSA kümmert sich um den Schutz des Landes - das ist Rogers Botschaft. Ganz im Sinne des amtlichen Auftrags. Die Regierung tendiere eher zu Defensive. Anstatt also offensiv zu arbeiten, um so an ein paar Geheimnisse mehr heranzukommen, konzentriere sich der Geheimdienst auf eine gute Absicherung.

Rogers: "Ich kann nicht eigenmächtig entscheiden"

Ob Informationen an Firmen übermittelt werden, wägt die NSA im Einzelfall ab. "Ich kann nicht eigenmächtig entscheiden, ob ich dieses Wissen weitergeben will oder nicht", sagte Rogers. Die NSA frage sich beispielsweise, wie verbreitet eine Lücke ist. Der Geheimdienst überlegt, wie schlimm es wäre, wenn fremde Angreifer das Einfallstor nutzen würden. Rogers führt nicht aus, welche Antwort zu welchem Ergebnis führt.

Denn auch andere Nationen - Russland, China, Iran - könnten Lücken finden und mit ihrer Hilfe die USA attackieren. Weil die NSA aber Wissen für sich behält, so der Vorwurf, macht die Nationale Sicherheitsagentur die USA unsicherer.

Die 91-Prozent-Statistik soll nun die amerikanischen Bürger beruhigen. Sie ist aber wenig aussagekräftig, betont die Nachrichtenagentur Reuters. Es kommt nämlich nicht nur darauf an, wie viele Sicherheitslücken die NSA weitergibt - sondern auch, wann sie das tut. Informiert sie die betroffenen Firmen erst später, können NSA und andere Geheimdienste die Lücke noch ausnutzen. Das bringt Internetnutzer weltweit in Gefahr. Dass die 91 Prozent gemeldeten Lücken von der NSA bereits ausgenutzt wurden und deshalb für den Geheimdienst keinen strategischen Wert mehr besäßen, sei eine "vernünftige Annahme", sagte ein ehemaliger Mitarbeiter des Weißen Hauses der Agentur Reuters.

Diese Anmerkung untermauert der Fall Stuxnet. Die Angreifer hatten ihr IT-Wissen jahrelang für sich behalten, um die Atomanlagen hacken zu können. Wertvolle Zeit - aber eben nicht nur für die NSA.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: