NSA meldet Windows-Sicherheitslücke: Big Brother hilft Microsoft

Berlin taz | Microsoft hat Hilfe von ungewöhnlicher Seite bekommen. Die National Security Agency (NSA) wies den Technikkonzern auf eine Sicherheitslücke im aktuellen Betriebssystem Windows 10 und verschiedenen Windows-Server-Versionen hin. Daraufhin hat Microsoft die Sicherheitslücke an seinem „Patch-Tuesday“ geschlossen.

Die Sicherheitslücke namens „CVE-2020-0601“ sei „hochgefährlich“, wie die Chefin der erst im Oktober gegründeten NSA-Abteilung für Cybersicherheit Anne Neuberger auf einer Pressekonferenz sagte. Microsoft schreibt in seiner offiziellen Mitteilung, die Sicherheitslücke betreffe die sogenannte Krypto-Bibliothek. Angreifer*innen könnten Malware so präparieren, dass sie von Windows als vertrauenswürdige Quelle erkannt würde.

Laut Microsoft seien so „Man-in-the-middle-Angriffe“ möglich, durch die kriminelle Hacker etwa den Datenverkehr abfangen. Microsoft selbst stuft den Sicherheitspatch in der Kategorie „wichtig“ ein. Jeden zweiten Dienstag im Monat spielt der US-amerikanische Tech-Konzern Sicherheitsupdates auf seine Betriebssysteme.

Kurioserweise ist das elf Jahre alte Windows 7 von der Sicherheitslücke anscheinend nicht betroffen. Das bei vielen Windows-User*innen beliebte Betriebssystem wird seit dem 14. Januar nicht mehr von Microsoft unterstützt.

Sicherheitslücke war NSA schon Wochen bekannt

Laut der Washington Post hat die NSA die Sicherheitslücke schon vor ein paar Wochen entdeckt. In einem Dokument gibt die NSA Hinweise auch an Nutzer*innen, die Sicherheitslücke zu schließen, auch wenn sie das Microsoft-Update nicht einspielen können. Das US-Militär habe das Sicherheitsupdate wohl schon vor dem Patchday erhalten, schreibt der Tech-Journalist Brian Krebs. Microsoft dementiert und sagt, niemand bekomme die Updates vor dem offiziellen Patchday.

Laut Neuberger ist das Vorgehen der NSA Teil der Aktion „Turn a new leaf“. Teil des Neuanfangs solle demnach sein, Tech-Unternehmen auf Fehler in ihrer Software und Hardware aufmerksam und das Wissen auch öffentlich zu machen. Es sei wichtig, Vertrauen aufzubauen, sagte Neuberger, das Schließen von Lücken habe oberste Priorität.

Nach eigenen Angaben hat die NSA die Schwachstelle nicht ausgenutzt. Im vergangenen Jahr stellte die NSA ihr hauseigenes Analysetool Ghidra als Open-Source-Software der Öffentlichkeit zur Verfügung. Auch die Vorratsdatenspeicherung soll in den USA enden – aber nur, weil man die entsprechenden Werkzeuge schon seit Monaten nicht mehr benutzt hat.

NSA wird nicht jede Sicherheitslücke melden

In der Vergangenheit nutzte die NSA Schwachstellen in IT-Infrastruktur und Software gnadenlos für Spionagezwecke aus und entwickelte eigene Tools dafür. Im Falle von „Eternal Blue“ von 2016 war das ein kolossaler Fehlschlag.

Denn das Tool wurde von einer kriminellen Hackergruppe geleakt, Millionen von Windows-Nutzer*innen waren so potenzielle Angriffsziele. Das wiederholte sich mit der Malware „WannaCry“ im Jahr 2017. Mit dem gezielten Melden von Sicherheitslücken will die NSA, so vermuten Expert*innen, ein erneutes Debakel verhindern.

Ob die NSA Sicherheitslücken veröffentlicht oder für die eigene Spionage nutzt, geschieht auf der Grundlage des sogenannten Vulnerabilities Equities Process. Der Geheimdienst wägt dabei ab, ob er Informationen über IT-Schwachstellen an die Öffentlichkeit gibt oder nicht. „Im Falle von Microsoft ist es wahrscheinlich, dass die Gefahr der Sicherheitslücke für die Allgemeinheit den Nutzen für die eigene Spionage überwogen hat“, sagt Richard Gold der taz. Er arbeitet beim US-amerikanischen Unternehmen Digital Shadows im Bereich Sicherheitstechnik.

Der Abwägungsprozess wird Gold zufolge auch in Zukunft stattfinden. Jede Sicherheitslücke in Windows wird die NSA also trotz Kurswechsel nicht melden.