NSA-Reform: Sicherheitsfachleute und offensive Hacker in einer Einheit zusammengeführt

Nach den Enthüllungen über die NSA und der anschließenden Kritik an deren allumfassenden Überwachungs-Programmen und damit verbundenen Befugnissen wurde durch Präsident Obama eine Kommission ins Leben gerufen, die Maßnahmen für eine Reform der US-Geheimdienste entwickeln sollte. Ein Teil der Vorschläge (2013, Quelle bei whitehouse.gov nicht mehr verfügbar, lokale Kopie) betraf dabei die dringend gebotene Trennung von jenen Institutionen die Software auf Sicherheitslücken testen um diese in enger Kooperation mit den Herstellern schnell zu schließen und Einheiten wie der Tailored Access Operations (TAO) in deren Aufgabenbereich die Entwicklung maßgeschneiderter Schadsoftware für den verdeckten Zugriff und für Cyberattacken fällt – eine klassische Trennung zwischen Defensive und Offensive.

Wie der britische Guardian (Q: theguardian.com, Kopie) gestern berichtete soll entgegen den Empfehlungen nun weniger eine Trennung als vielmehr ein Effektivierung der teilweise komplexen Haus-internen Strukturen vorgenommen werden. Dabei werden unter anderem das oben benannte Sicherheits-orientierte Information Assurance Directorate (IAD) mit dem Signals Intelligence Directorate (SID) zusammengelegt, deren Aufgaben eben genau die Nutzung derartiger Schwachstellen für nachrichtendienstliche Aufklärung umfasst:

„Signals Intelligence Directorate (SID) Management Directive provides policy and procedures for the formal delegation of mission resporisibility and a consistent process to ensure adequate support and standup of SIGINT mission within the United States SIGINT System“ (Q: aclu.org / Kopie).

Gerade in Bezug auf Sicherheitslücken gab es in der Vergangenheit einige interessante Zitate staatlicher Führungskräfte der USA:

„I certainly have great respect for those that would argue that they most important thing is to ensure the privacy of our citizens and we shouldn’t allow any means for the government to access information. I would argue that’s not in the nation’s best long term interest, that we’ve got to create some structure that should enable us to do that mindful that it has to be done in a legal way and mindful that it shouldn’t be something arbitrary.“ (aktueller NSA Chef General Michael S. Rogers, Keynote der CyCon 2015, Kopie)

Disclosing a vulnerability can mean that we forego an opportunity to collect crucial intelligence that could thwart a terrorist attack stop the theft of our nation’s intellectual property, or even discover more dangerous vulnerabilities that are being used by hackers or other adversaries to exploit our networks (Michael Daniel, Special assistant to the president and cybersecurity coordinator“, Blog  whitehouse.gov/blog, Kopie)

Angesichts der mehr oder minder bestätigten Kooperation der NSA mit militärischen Einheiten (wie der zentralen militärischen Cyber-Einheit USCYBERCOM, die dem jeweiligen NSA-Direktor untersteht) oder der durch Snowden enthüllten präsidialen Direktive PPD-20/2012 ist damit nicht auf Signale der Entspannung aus den USA im gegenwärtigen Cyber-Aufrüstungswettlauf zu rechnen – wonach es allerdings ohnehin nicht aussah.