US-Regierung will zur Cybersecurity stärker das Offensivwissen der Geheimdienste nutzen
Die Geheimdienste sollen ihr Wissen über Sicherheitslücken offenlegen, die sie allerdings selbst nutzen.
- Florian Rötzer
Nachdem US-Präsident Bush mit der geheim klassifizierten Direktive HSPD 23 die Geheimdienste im Januar dieses Jahres damit beauftragt hat, den Internetverkehr von Behörden zu überwachen, um deren Computersysteme vor Angriffen zu schützen, wird jetzt ein weiterer Schritt vorbereitet. Nach Informationen der Washington Post soll nun auch das Wissen und die Technik der Geheimdienste, Cyberangriffe auszuführen, genutzt werden, um den Schutz der nationalen staatlichen und zivilen Computernetze zu erhöhen.
Ein hoher Mitarbeiter des Weißen Hauses sagte der Zeitung, dass man noch nie darauf geschaut habe, ob die entwickelten und verwendeten Angriffstechniken auf Computer auch Hinweise für die Abwehr von Angriffen enthalten. Der Vorteil liege immer beim Angreifer, daher müsse man die "Kluft" zwischen den Angriffs- und Abwehrmöglichkeiten schließen. In der möglicherweise schon für nächste Woche geplanten neuen Cybersecurity-Direktive soll ausgeführt werden, wie die Geheimdienste, allen voran die NSA, eingesetzt werden können, um die Angriffe von Hackern, Kriminellen und Spionen abzuwehren, die stets neue Sicherheitslöcher herausfinden, um ihre Angriffe auszuführen. Das daraus gewonnene Wissen soll auch der Privatwirtschaft zugute kommen. Angeblich arbeitet man im Weißen Haus gerade daran, welche Teile der ergänzten Cybersecurity-Direktive vom Januar veröffentlicht werden können und welche der 18 strategischen Ziele weiterhin geheim bleiben sollen.
Alan Paller, Forschungsdirektor des SANS-Instituts, sagte der Washington Post allerdings, dass die Geheimdienste wie die NSA neue Angriffsmöglichkeiten nicht gerne weitergeben, weil sie oft "dieselben Sicherheitslücken in Hardware und Software wie die Feinde der USA nutzen, um Informationen zu sammeln". Das sei eines der ältesten Konflikte in Fragen der Sicherheit: "Wenn wir unsere besten Exploits weitergeben, verlieren wir unsere Fähigkeit, sie offensiv zu nutzen."
Nach dem U.S. Computer Emergency Readiness Team (US-CERT) wurden auf Bundesbehörden im letzten Jahr 12.986 Cyberangriffe ausgeführt, 2005 waren es noch 3.569. (fr)
