http://www.faz.net/-gqz-8wz8l
HERAUSGEGEBEN VON WERNER D'INKA, JÜRGEN KAUBE, BERTHOLD KOHLER, HOLGER STELTZNER
F+ Icon
F.A.Z. PLUS
abonnieren

Veröffentlicht: 19.04.2017, 06:26 Uhr

Exploits der „Shadow Brokers“ Osterfest für Hacker

War die sehr gelassene Reaktion bei Microsoft auf die Veröffentlichung von Angriffsmöglichkeiten über Windows angemessen? Die Shadow-Brokers-Exploits blamieren die NSA, und der normale Computernutzer ist der Dumme.

von Constanze Kurz
© AP Schwachstellensammler: Zentrale der National Security Agency in Fort Meade

Das Osterwochenende dürfte für einige Mitarbeiter der NSA und der Firma Microsoft sicher hektisch und anstrengend gewesen sein. Sie hatten eine ganze Reihe neu veröffentlichter Exploits zu sichten und zu untersuchen. Ein Exploit ist eine Software, die Sicherheitslücken aktiv ausnutzen und beispielsweise Zugang zu einem Computersystem eröffnen kann. Ein ganzes Bündel solcher Exploits hatte jemand am Karfreitag veröffentlicht, der unter dem Namen „Shadow Brokers“ schon bekannt ist.

Eigentlich war eine Versteigerung von Hacking-Werkzeugen angekündigt: „Shadow Brokers“ zeigte Interessierten im August letzten Jahres öffentlich einige digitale Angriffswerkzeuge aus dem Jahr 2013. Quasi zum Anfüttern einer Auktion weiterer Exploits wurden Programme, Quellcode-Fragmente und Screenshots online gestellt. Die Sammlung vom August ist der NSA zuzurechnen. Doch das Interesse potentieller Bieter war geringer als erhofft. Momentan ergibt die gebotene Summe beim aktuellen Stand der Währung Bitcoin nur umgerechnet elftausend Euro. Das mag für manche ein kleines Vermögen sein, aber beim Handel mit Exploits sind weit größere Summen üblich.

Eine recht gelassene Reaktion

Die Betriebssysteme, die in der neuen Veröffentlichung auftauchen, sind vor allem Linux, Windows und Solaris. Doch Microsofts Windows war besonders betroffen, weil elf der in die freie Wildbahn entlassenen Exploits verschiedene Versionen des Betriebssystems betreffen. Zudem sind einige Sicherheitslücken mit den passenden Exploits bisher unbekannt, sie werden als „0days“ bezeichnet. Das bezeichnet die Anzahl der Tage, die eine Sicherheitslücke bekannt ist – nämlich null.

Der Konzern reagierte nach nur wenigen Stunden mit einer recht gelassenen Meldung, in der angegeben wird, dass die Mehrzahl der Windows-Exploits bereits neutralisiert sei. In früheren Patches, die Microsoft regelmäßig als Korrektur an seine Nutzer versendet, seien die Sicherheitslücken bereits geschlossen worden.

Den Russen in die Hände gefallen?

Das ist aber nur die halbe Wahrheit, denn Microsoft gibt nur Patches für seine Betriebssysteme heraus, die es noch unterstützt. Die Exploits betreffen aber auch ältere Windows-Versionen, die durchaus in Unternehmen und bei Privaten noch in Benutzung sind. Sie sind und bleiben durch die veröffentlichten NSA-Werkzeuge angreifbar, da die Sicherheitslücken vom Hersteller nicht mehr geschlossen werden. Das trifft besonders Entwicklungsländer, bei denen die Anzahl älterer Windows-Systeme höher ist als etwa in Europa.

Wie nicht anders zu erwarten: Die NSA schweigt zu alldem – vorerst. Denn nach der ersten „Shadow Brokers“-Veröffentlichung im August hatte das FBI Ermittlungen aufgenommen, in denen sich die NSA zu Wort gemeldet hatte. Ein früherer Angestellter habe die Hacking-Werkzeuge unachtsam auf einem Computer genutzt, auf den der Zugriff von außen möglich gewesen sei. Dort hätten russische Hacker sie gefunden. So war die Theorie in der Welt, dass hinter „Shadow Brokers“ die Russen steckten.

Aus dem Inneren des Geheimdienstes

Die NSA beschwor bei dieser Gelegenheit, dass man den Vorfall des unachtsamen Mitarbeiters selbstverständlich bemerkt habe. Deswegen habe man die elektronischen Fühler Richtung Russland und China ausgestreckt, um möglichst aufzuzeichnen, falls jemand die gestohlenen Werkzeuge benutzen würde. Eine Warnung an die betroffenen Hacking-Opfer, also Hersteller und deren Kunden, habe man aber nicht für nötig gehalten, erklärte die NSA – nicht einmal an die zum Angriff freigegebenen amerikanischen Konzerne.

Neben den Exploits selbst veröffentlichte „Shadow Brokers“ diesmal auch Powerpoint-Präsentationen, die Auskunft über Operationen, Prozeduren und Ziele der NSA geben. Das stützt die These, dass hier nicht eine Hackergruppe gegen die NSA-Staatshacker vorgeht, sondern ein Insider des Geheimdienstes selbst dahintersteckt.

Die Abwehr hat gegenüber dem Sturm einiges aufzuholen

Aber wer auch immer hinter den Kulissen die Fäden zieht, klar ist eines: Die Staatshacker der NSA sind wiederum blamiert und der normale Computernutzer der Dumme. Denn was die bezahlten Hacker an Angriffsmethoden ersonnen und umgesetzt haben, kann sich nun jeder halbwegs Versierte herunterladen und teilweise sogar ohne Umstände zur Anwendung bringen.

Entgegen den gern kolportierten Geschichten, die den Mythos technischer Geheimdienste stärken: Es ist nicht so, dass die Staatshacker in allem freie Hand hätten. Die NSA übt nämlich den ganz großen Spagat, weil sie Angreifer und Abwehr zugleich ist. Zu ihren Aufgaben gehört seit Jahren auch der Schutz wichtiger nationaler Computersysteme. Und ohne Zweifel hat die Abwehr gegenüber dem Sturm einiges aufzuholen.

Geheimdienstkontrolle ist eine Chimäre

Denn auch eine NSA hat Pflichten, Fehler in jenen Computersystemen zu melden, die in Wirtschaft und Regierung der Vereinigten Staaten weit verbreitet sind. Sie muss einschätzen, wie risikohaft eine Sicherheitslücke für Firmen und Behörden ist, wenn sie weiterhin offensteht. Potentieller Schaden für das eigene Land darf auch von Staatshackern nicht ignoriert werden.

Mehr zum Thema

Das dürfte für Windows-Exploits wohl unstreitig eine Überlegung wert sein. Der Beweis, den „Shadow Brokers“ lieferte, dass die Staatshacker „0days“, die mindestens aus dem Jahr 2013 stammen, jahrelang für sich behielten, könnte daher politische Folgen nach sich ziehen. Denn eigentlich muss die Abwägung, ob ein „0day“ geheim gehalten und benutzt oder im Interesse der Sicherheit der Allgemeinheit an den Hersteller gemeldet wird, in einem strukturierten Verfahren geschehen. Der sogenannte „Vulnerabilities Equities Process“ ist jedoch nichts weiter als ein verwelktes Feigenblatt – wie die jahrelang genutzten Angriffswerkzeuge aus den Geheimdiensten zeigen. Offenbar zog dort niemand ernstlich in Erwägung, kritische Sicherheitslücken zu melden, die Millionen Computer angreifbar machten.

Es zeigt sich einmal mehr, dass Geheimdienstkontrolle eine Chimäre ist. Die daraus zu ziehende Lehre für die anstehende deutsche Diskussion über Geheimdienste als Entwickler, Aufkäufer und Nutzer von Sicherheitslücken ist eindeutig: Den Geheimen ist auch in diesem Feld nicht zu trauen. Die Entscheidung, ob man eine Lücke für sich behält und benutzt oder aber dafür sorgt, dass Bürger und Unternehmen besser geschützt sind, darf ihnen nicht überlassen werden.

Glosse

Der Mondeo-Mann geht wählen

Von Gina Thomas

Was der Brexit auslöst: Der ehemalige Premierminister und Labour-Politiker Tony Blair empfiehlt, notfalls auch die Konservativen zu wählen. Was bezweckt er mit der Empfehlung? Mehr 3 0

Abonnieren Sie den Newsletter „Literatur“

Zur Homepage