Im Namen der US-Regierung hat Michael Daniel als Sprecher des Weißen Hauses einen Blogpost veröffentlicht, in welchem er auf das Thema Sicherheitslücken eingeht. Die Erklärung, wie man mit gefundenen Schwächen in Software umgeht, wirft jedoch mehr Fragen auf, als sie beantwortet.

Lücken werden nicht immer gleich veröffentlicht

Es sei im "nationalen Interesse", neue Lücken auf verantwortungsvollem Wege offen zu legen, Allgemein versteht man im Sicherheitsumfeld darunter, dass der Entwickler des betroffenen Produkts vertraulich über die Probleme in Kenntnis gesetzt wird und ein angemessenes Zeitfenster zur Bereinigung erhält, ehe die Öffentlichkeit informiert wird.

Dies geschieht jedoch nicht immer, da man auch mögliche Nachteile für sich sieht. Würde man jede entdeckte Lücke sofort offen legen, könnte man dabei eine wichtige Gelegenheit auslassen, "entscheidende" Informationen zu gewinnen, die "einen Terroranschlag verhindern" oder die Entdeckung noch gravierender Schwächen ermöglichen könnte.

"Rigoros" geregelter Prozess, aber keine Transparenz

Gleichzeitig betont man die "Integrität" des "rigoros" geregelten Prozess es, welcher der Entscheidung vorausgeht, ob man ein Leck sofort offen legt oder temporär geheim hält. Eben hier liegt das Problem für viele Kritiker: Niemand weiß, wer hierbei das Sagen hat und nach welchen Kriterien ein Beschluss gefällt wird, wenngleich Daniel zumindest die groben Vorgaben nennt.

Das Weiße Haus wünscht sich also das Vertrauen der Bürger ganz ohne Transparenz. Denn nicht einmal im Nachhinein ist von offizieller Seite zu erfahren, welche Lücken auf welcher Bewertungsgrundlage wie lange geheim gehalten wurden. Gleichzeitig betont man, ausgerechnet vom bisher wahrscheinlich größten Leck der Internetgeschichte, "Heartbleed", nichts gewusst zu haben. Internetnutzer rund um die Welt müssen sich auf die bloße Aussage verlassen.

Die Diskussion zu diesem Thema ist laut New York Times auch innerhalb der NSA und des Pentagon aufgeheizt. Die Geheimdienste argumentieren demnach, dass eine Nichtnutzung von "Zero-Day Vulnerabilites" einer unilateralen Abrüstung gleichkäme. Oder anders gesagt: Mögliche Feinde würden dies ebenfalls tun und auch nicht damit aufhören, man würde eine wichtige Waffe aus der Hand geben.

Kalkuliertes Risiko

Dazu ist man gewillt, das Risiko einzugehen, auch eigene Infrastruktur für diesen Vorteil in Gefahr zu bringen. Es gibt schließlich keine Garantie dafür, dass nur die US-Behörden über die erwähnte Waffe verfügen.

Dass es aus geheimdienstlicher Sicht durchaus Sinn machen kann, eine neu entdeckte Schwachstelle nicht sofort preiszugeben, ist nachvollziehbar, aber nichtsdestotrotz bedenklich. Die Dokumente von Edward Snowden zeigen seit über einem Jahr, dass die Überwachungsmaßnahmen der US-Geheimdienste längst nicht nur potenzielle Staatsfeinde betreffen.

Dass die Verantwortlichen infolge des öffentlichen Drucks nun langsam beginnen, sich zu erklären, ist grundsätzlich zu begrüßen. Solange es allerdings bei beschwichtigenden Worten bleibt und man sich selbst implizit als "die Guten" darstellt, dürfte sich die Vertrauenserosion jedoch weiter fortsetzen. (gpi, derStandard.at, 29.04.2014)