Der US-amerikanische Geheimdienst NSA hat bewiesen, wie sehr es ihm an Weitsicht fehlt. Angreifer haben mit Erpresser-Software weltweit mehr als 200 000 Rechner infiziert. Die Schwachstelle, die sie nutzten, hatte ursprünglich die NSA entdeckt. Doch die behielt dieses Wissen erst einmal für sich - obwohl dem Nachrichtendienst die Tragweite hätte klar sein müssen.
Erst nachdem unbekannte Hacker das Werkzeug entwendeten, benachrichtigte die NSA mutmaßlich den Software-Konzern Microsoft, der daraufhin die Lücke stopfte. Zu spät: Viele Unternehmen installierten nicht rechtzeitig die nötigen Updates. Nun haben Kriminelle die Schwachstelle ausgenutzt. Sie verdienten mit den Erpressungen nur etwa 50 000 Euro, richteten aber einen Schaden an, der in die Millionen gehen dürfte.
Eigentlich haben sich die US-Geheimdienste im Rahmen des Vulnerabilities Equities Process verpflichtet, nach der Entdeckung von Sicherheitslücken abzuwägen: Ist die Schwachstelle so wertvoll für eigene Überwachungszwecke, dass man sie geheim hält, oder ist die Gefahr für die Öffentlichkeit so groß, dass man betroffene Unternehmen informieren muss? Genau in dieser Abwägung hat die NSA jetzt versagt. Die Attacke der vergangenen Woche sollte für die US-Geheimdienste, aber auch für den Bundesnachrichtendienst, der ebenfalls Sicherheitslücken für sich behält, ein Weckruf sein.