Die US-Regierung hat erneut bekräftigt, nichts von der kritischen Heartbleed-Sicherheitslücke gewusst zu haben. Laut mehreren Medienberichten soll die NSA die Schwachstelle schon vor Jahren entdeckt und daraufhin ausgenutzt haben. Jetzt verweist das Weiße Haus auf eine neue Regelung, derzufolge Regierungsbehörden wie die NSA Sicherheitslücken publik machen müssen und diese nicht für eigene Zwecke missbrauchen dürfen.

Ausnahmen möglich

Caitlin Hayden, Sprecherin des Nationalen Sicherheitsrates der US-Regierung, weist gegenüber der New York Times daraufhin, dass Behörden Verantwortung und Sicherheit höher als mögliche nachrichtendienstliche Vorteile einstufen sollen. Freilich gibt es Ausnahmen: Wenn die Ausnutzung einr Lücke eindeutig für Zwecke der nationalen Sicherheit oder Strafverfolgung benötigt wird, dürfen sich Behörden über die allgemeine Regel hinwegsetzen.

Keine Hintertüren einbauen

Die New York Times hat zusätzlich Details aus den Geheimdienst-Reformplänen der US-Regierung publiziert. So soll das Komitee, das Obama in NSA-Fragen beraten habe, vorgeschlagen haben, dass Geheimdienste künftig keine Hintertüren in Sicherheits-Software bauen dürfen. Dieses Vorgehen "schade der US-Wirtschaft", da es einen Vertrauensverlust in US-amerikanische Produkte bedeute.

Zero-Day-Ereignisse: Nicht ausnutzen

Außerdem sollen sogenannte "Zero-Day"-Ereignisse nur kurz ausgenutzt werden. Damit bezeichnet man die Phase, nachdem eine kritische Sicherheitslücke entdeckt wurde und Nutzer null Tage (eng.: zero days) Zeit haben, um ihre Daten zu schützen. Die NSA solle bei Entdecken eines solchen Bugs die zuständigen Herstellerfirmen alarmieren, so der Vorschlag. Es ist unklar, inwieweit US-Präsident Obama beide Vorschläge in die Tat umsetzen wird.

"Wie Verzicht auf Atomwaffen"

Innerhalb der Geheimdienste regt sich dagegen jedenfalls starker Widerstand. Die New York Times zitiert einen hochrangigen Geheimdienst-Mitarbeiter, der die Aufgabe der Zero-Day-Ausnutzung mit dem "Verzicht auf Nuklearwaffen" vergleicht. Er verweist darauf, dass auch Geheimdienste anderer Länder diese Lücken missbrauchten und daher einen Vorteil hätten, sollte die NSA hier zurückrudern. US-Regierungsbehörden gelten als einer der größten Käufer am Schwarzmarkt für Sicherheitslücken, sie würden Hackern regelmäßig große Summen zahlen, um über Zero-Day-Ereignisse Bescheid zu wissen. (fsc, derStandard.at, 13.4.2014)