Die erste Firma knickt ein: RSA, ein Hersteller von digitaler Sicherheitstechnik in den USA, hat nun zugegeben, dass sie ein bestimmtes Programm-Modul für ihre Software "BSafe" zusammen mit dem amerikanischen Geheimdienst NSA entwickelt und in seiner Funktion geschwächt habe.
Dabei geht es ausgerechnet um einen Teil der Software, der zufallsgenerierte Schlüssel erstellt. Das ist in der Digitaltechnik ein sehr wichtiger Vorgang, weil mit solchen Zeichenketten, die für den normalen Nutzer wie ein komplexes Passwort aussieht, Daten verschlüsselt werden.
Bekannt dürfte RSA einigen Kunden als Hersteller der kleinen Plastiktokens sein, die viele Firmen ihren Mitarbeitern mit nach Hause geben, um auch von dort Zugang zum Firmennetz zu erhalten. Auch diese Geräte, bekannt als SecureID-Token, zeigen einen zufallsgenerierten Code an, eine Art ständig wechselndes Passwort. Sie bilden weltweit einen Standard beim Zugang in geschlossene Netzwerke. Auf eine Anfrage der Nachrichtenagentur Reuters antwortete die Firma nicht. RSA gehört zum IT-Konzern EMC, ein großes Unternehmen mit circa 50.000 Mitarbeitern weltweit.
Das Werkzeug, das diese Schlüssel in der RSA-Software erzeugt, verwendet nach Angaben der Firma eine schwache, von der NSA mitentwickelte Formel. Je schwächer die Formeln, umso leichter ist ein damit verschlüsselter Datensatz zu knacken. RSA teilte dies nun in einer E-Mail an Softwareentwickler mit. Das Unternehmen empfiehlt den Programmierern, künftig andere Zahlengeneratoren zu verwenden, die ebenfalls in der "BSafe"-Software enthalten seien. Unklar ist, in wie vielen Produkten die BSafe-Software zum Einsatz kommt, wie der Softwarekonzern Entwickler warnen möchte, die nicht im E-Mail-Verteiler sind und ob die Nutzer, die Endkunden, informiert werden.
BSafe ist eine Software, die vor allem von Profis zur Entwicklung anderer Programme eingesetzt wird. Damit hat sich bestätigt, was die New York Times bereits in der vergangenen Woche unter Berufung auf die geheimen Daten des Whistleblowers Edward Snowden berichtet hatte: Die NSA betreibt gezielt Kooperationen mit den Herstellern von Sicherheitstechnik, die sie dann dazu auffordert, ihre Produkte mit Hintertüren für Spionage-Aktivitäten zu versehen.
Auch das amerikanische Institut für Normierung, Nist, hat sich dazu bekannt, mit der NSA zusammenzuarbeiten. Das Institut betonte in der New York Times, zu der Zusammenarbeit verpflichtet zu sein. Nist hatte bereits vor einigen Tagen öffentlich davon abgeraten, ein vom dem Institut 2006 selbst genormtes Verfahren zur Erstellung von Zufallszahlen zu nutzen.
Für Programmierer wie Nutzer ist die Zusammenarbeit zwischen Geheimdiensten, Instituten und Herstellern von Sicherheitsprodukten problematisch. Software wie "BSafe" wird eigentlich eingesetzt, um das Netz und Computertechnik im allgemeinen sicherer zu machen. Ein Ziel, das bei der Kooperation mit den Geheimdiensten, offenbar nicht erreichbar ist.