In den vergangenen Wochen wurden mehrere interessante und aufschlussreiche Interviews und Stellungnahmen hochrangiger US-amerikanischer Amtsinhaber veröffentlicht, die ein gutes Licht auf den Umgang nationaler Institution mit IT-Sicherheitslücken, deren Geheimhaltung und Bedeutung für operative Planungen werfen. Diese ergänzen die Überlegungen des vorherigen Beitrags zur Bedeutung von IT-Sicherheitsfirmen, die sich auf die Suche und den Handel mit derartigen Sicherheitslücken spezialisieren, als ein neuer Bestandteil militärischer Prozesse.
Zum einen unterstreicht Michael Daniel („special assistant to the president and cybersecurity coordinator“) in verblüffender Deutlichkeit in einem Blog-Eintrag des Weißen Hauses, dass man mit der vorschnellen Veröffentlichung von unbekannten Sicherheitslücken eventuell strategische Möglichkeit und Vorteile aufgibt die den Sicherheitsinteressen der Nation dienen könnten:
Disclosing a vulnerability can mean that we forego an opportunity to collect crucial intelligence that could thwart a terrorist attack stop the theft of our nation’s intellectual property, or even discover more dangerous vulnerabilities that are being used by hackers or other adversaries to exploit our networks
In diesem Sinne werde die US-Regierung auch weiterhin die Ihnen zugänglichen Informationen zu Sicherheitslücken behandeln. Da es mittlerweile wie beschrieben auch unzählige privatwirtschaftliche Unternehmen gibt, die Ihnen diese Informationen anbieten spielt es de facto kaum noch eine Rolle, ob Institutionen wie die NSA selbst den Hacking-Aufwand betreiben um Sicherheitslücken aufzudecken.
In diesem Kontext ist auch ein sehr umfangreiches Gespräch1(lokale Kopie) der Financial Review mit General Keith Alexander, dem erst unlängst abgelösten Chef der NSA und des US Cyber Command zu betrachten. Im Interview geht er ausführlich auf die Rolle der NSA und deren Aktivitäten zur US-amerikanischen Dominanz im Cyberspace ein:
NSA has to understand and identify all the vulnerabilities—the coding errors, backdoors, zero days etc—in the technology tools that our governments relies on to safeguard those systems from exploitation by adversaries. And NSA has to be able to ultimately encrypt our nation’s most sensitive secrets in a manner that gives us confidence that this information is not being compromised by external parties.
Neben der Betonung der Bedeutung von Zero day exploits geht Alexander unter anderem auch auf das Sammeln und die Aussagekraft von Metadaten ein, deren Erhebung und Auswertung den aus seiner Sicht „am wenigsten aufdringlichsten“ Weg zur Wahrung von Sicherheitsinteressen bildet. Dem gegenüber steht ein Zitat des ehemaligen CIA-Chefs und General Michael Hayden der während einer Debatte an der John-Hopkins-Universität in Baltimore über die Aussagekraft von Metadaten die daraus ableitbaren komplexen Informationen über Menschen mit dem Worten kommentierte:
We kill people based on metadata
Ein Mitschnitt der Veranstaltung ist auf Youtube zu finden. Zusammenfassend ist die bemerkenswerte Offenheit dieser Aussagen festzustellen, die im wesentlichen offene Geheimnisse bestätigen und Vermutung untermauern. Andererseits könnten diese klaren Worte auch an gegnerische Kräfte gerichtet sein und als Bestandteil weltpolitischer Konflikte verstanden werden.
Lokalen Kopien der verlinkten Artikel