Inzwischen darf man es als sicher ansehen, dass die veröffentlichte Hack-Software, die von der NSA stammen soll, auch wirklich von der NSA stammt. Es soll sich dabei um Tools handeln, die 2013 im Einsatz waren und auch in diesem Jahr entwendet wurden. Es ist natürlich sehr wahrscheinlich, dass diese Tools auch nach 2013 noch von der NSA eingesetzt und weiter entwickelt wurden. Welche weiteren NSA-Tools die für die Veröffentlichung verantwortliche Gruppe noch besitzt, wird die Zukunft zeigen. Cisco reagiert nun mit Patches auf den Leak. In diesem wurden Lücken in den Firewalls des Unternehmens ausgenutzt, die Cisco bislang nicht bekannt waren.

Es steht nun natürlich die Frage im Raum, wer für den Hack verantwortlich war, mit dem die Tools der NSA entwendet wurden. Immerhin ist das eine ziemlich peinliche Geschichte für den US-Geheimdienst. Natürlich wurde Edward Snowden verdächtigt, der wiederum eher den russischen Geheimdienst dahinter vermutet, wobei aber auch der chinesische Geheimdienst in Verdacht steht.

Überraschend wäre es natürlich nicht, schließlich gehört es ja zu den ureigensten Aufgaben eines Auslandsgeheimdienstes, eben andere Auslandsgeheimdienste zu belauern. Wahrscheinlich wird diese Frage nie endgültig geklärt werden können und wenn man nicht gerade auf politischer und diplomatischer Ebene unterwegs ist, dann erscheint diese Frage nicht ganz so wichtig, wie eine andere:

Eine drei Jahre alte Zero-Day-Lücke in einem Firewall-Produkt eines US-Unternehmens, die der NSA bekannt war und ausgenutzt wurde – wie verträgt sich das mit der Aufgabenbeschreibung der NSA? Denn natürlich ist es Aufgabe der NSA zu schnüffeln, aber es gehört eben auch zu den Aufgaben der NSA die Sicherheit der USA, der US-Bürger und der US-Unternehmen zu gewährleisten. Nicht umsonst finanziert die NSA ja auch entsprechende Projekte.

Wenn nun aber die NSA mindestens drei Jahre lang eine Lücke in einer Firewall kennt, die nicht ausschließlich für den Export bestimmt ist, sondern auch von US-Unternehmen und -Behörden eingesetzt wird, dann hat man endlich das perfekte Beispiel dafür, warum beide Aufgaben nicht unter einem Dach vereint werden sollten. Denn sie schließen sich aus. In einer Welt mit globalen Märkten, mit globaler Vernetzung und global agierenden Unternehmen, ist der Widerspruch aus „die anderen ausspionieren“ und „unsere Leute vor Spionage schützen“ nicht aufzulösen. Ganz abgesehen von der Tatsache, dass man sich bei der NSA vermehrt eben auch für US-Bürger interessiert.

Früher™ war das noch möglich: Da gab es strenge Exportbeschränkungen für hochwertige Kryptographie und andere Technologie, da konnte man weitgehend davon ausgehen, dass ein US-Security-Produkt nur in den USA und höchstens noch bei sehr engen „Freunden“ zum Einsatz kam. Wenn hier eine Lücke gefunden wurde, dann konnte man die ohne Probleme an den Hersteller melden, der konnte sie schließen und alles war gut. Aber inzwischen setzen eben die Ziele der NSA-Spionage die gleichen Produkte wie die eigenen Behörden und Unternehmen ein.

Und schon ist die NSA in einer mit diesem Leak sehr anschaulich präsentierten Zwickmühle: Melden wir die Lücke an den Hersteller, damit Firmen, Behörden und Bürger in den USA davor geschützt werden können, dass ein fremder Geheimdienst die Lücke findet und bei ihnen ausnutzt oder aber ist uns selbst die Ausnutzung dieser Lücke so wichtig, dass wir sie verschweigen, nutzen und riskieren, dass sie eben auch von anderen gefunden und genutzt wird?

Egal wie die NSA eine solche Frage entscheidet, eine ihrer beiden Aufgaben leidet darunter, letztlich kann es also keine richtige Entscheidung geben. Die Entscheidung wird also danach getroffen werden, welcher der beiden Aufgaben gerade die höhere Priorität eingeräumt wird. Damit ist nun zumindest die Frage nach den Prioritäten der NSA bzw. der US-Regierung, ganz klar beantwortet.

via heise security