Admiral Michael S. Rogers, der Direktor der NSA, hat ein Problem, und es heißt Extrabacon. Das ist der Codename einer eigentlich geheimen Schadsoftware seiner eigenen Behörde. Mit ihr konnte der US-Geheimdienst unbemerkt bestimmte Firewalls des US-Herstellers Cisco hacken und so in fremde Netzwerke eindringen. Jetzt haben Unbekannte, die sich The Shadow Brokers nennen, der ganzen Welt verraten, wie Extrabacon funktioniert. Das ist nicht nur peinlich für die NSA, sondern für Rogers auch ärgerlich, weil der jahrelang eingesetzte Spionagecode damit wertlos ist.

Zudem könnte die Veröffentlichung ein Nachspiel für den Admiral haben. Denn es drängt sich der Verdacht auf, dass Rogers der Öffentlichkeit zum Umgang der NSA mit solchen Zero-Day-Exploits genannten Schadcodes Märchen erzählt hat.

Zero-Days – so werden Sicherheitslücken genannt, die der betroffene Software- oder Hardwarehersteller zunächst selbst nicht kennt. In dem Moment, in dem andere sie bemerken, hat der Hersteller null Tage Zeit, um durch ein Update oder andere Maßnahmen zu verhindern, dass jemand sie ausnutzt. Ein Angriff darauf heißt entsprechend Zero-Day-Exploit.

Dir Firma Cisco hat zugegeben, dass die Sicherheitslücke, die den Angriff mit dem NSA-Tool Extrabacon ermöglichte, jahrelang bestand, weil das Unternehmen nichts davon wusste.

Das Wissen um solche Schwachstellen ist die wertvollste Waffe, die ein auf Sigint (Signals Intelligence) spezialisierter Geheimdienst besitzt. Auf Grau- und Schwarzmärkten werden in Betriebssystemen, Anwendungen und Geräten gefundene Zero-Days für zum Teil sechsstellige Summen gehandelt. Die Hersteller bieten deshalb selbst hohe Summen, damit die Entdecker zu ihnen kommen und nicht zu einem potenziellen Angreifer, der die Sicherheit ihrer Kunden gefährdet.

Die NSA hatte sich zuletzt defensiv gegeben

NSA-Direktor Rogers hatte dem US-Senat in einer Anhörung zu seinem Amtsantritt im Frühjahr 2014 versichert, der Geheimdienst veröffentliche Zero-Days "standardmäßig" (im Original: "The default is to disclose"), wenn sie Produkte betreffen, die von den USA und ihren Verbündeten genutzt werden – wie zum Beispiel Firewalls und Router des US-Unternehmens Cisco. Das sei innerhalb der NSA immer so gewesen. Es gebe dort einen "ausgereiften und effizienten Prozess, mit Zero-Days umzugehen, die in jedem kommerziellen Produkt oder System (nicht nur Software) entdeckt werden, das von den USA oder ihren Verbündeten verwendet wird" (im Original: "mature and efficient equities resolution process").

Seit den Snowden-Enthüllungen versucht die NSA immer wieder, ihre Defensivarbeit zu betonen, um ihrem Ruf als Angriffsmaschine entgegenzutreten. Ende 2015 etwa sagte Rogers, die NSA melde 91 Prozent der ihr bekannten Sicherheitslücken an die Hersteller – allerdings nicht, in welchem zeitlichen Rahmen. Manche vielleicht sofort, andere möglicherweise erst, nachdem man sie selbst für einen Angriff ausgenutzt hat. Unter den übrigen neun Prozent seien zudem Fälle, in denen die Unternehmen schon selbst davon wussten.

Auch der Cyber-Security-Koordinator im Weißen Haus, Michael Daniel, hatte zu jener Zeit gesagt, "in der Mehrheit der Fälle" sei es im Interesse der nationalen Sicherheit, die Sicherheitslücken offenzulegen. Und selbst der Leiter der NSA-Elitehackertruppe Tao (Tailored Access Operations) behauptete vor einigen Monaten noch, Zero-Days seien "überschätzt" und würden kaum eingesetzt.

Unbekannte wussten fast drei Jahre von Extrabacon

Gehört Extrabacon also zu den seltenen Ausnahmen? Ebenso wie die anderen Exploits, die dank der Shadow Brokers nun öffentlich zugänglich sind und die offenbar ebenfalls jahrelang von der NSA ausgenutzt wurden?

Nein, versichern zwei ehemalige NSA-Mitarbeiteranonym in der Washington Post. Sie sollen nach eigenen Angaben mit solchen Angriffswerkzeugen gearbeitet haben. Einer von beiden, der "Hunderte Zero-Days" gesehen haben will, wird mit den Worten zitiert: "Mir fällt aus meiner Zeit dort kein einziger Fall ein, in dem wir gesagt haben, wir sind fertig mit dem Zero-Day, geben wir ihn der defensiven Seite, damit die Lücke gestopft werden kann".

Der Fall Extrabacon lässt Rogers und die NSA jedenfalls nicht glaubwürdiger erscheinen. Und er verdeutlicht das Risiko, das mit dem Ansatz "Offensive vor Defensive" einhergeht: Es ist anzunehmen, dass die Shadow Brokers bereits im Oktober 2013 in den Besitz des NSA-Spionagecodes gelangten. Knapp drei Jahre lang wusste also noch jemand anderes als der US-Geheimdienst, wie sich Cisco-Firewalls und andere Netzwerktechnik hacken lassen. Und zwar, weil die NSA entschieden hat, ihr Wissen für sich zu behalten, anstatt das S in ihrem Namen als National Security Agency ernst zu nehmen.

Für Rogers kann die Geschichte nicht gut ausgehen: Wusste die NSA, dass Teile ihrer Angriffswerkzeuge auch anderen in die Hände gefallen sind und hat sie das bis jetzt verschwiegen und somit andere gefährdet? Das wäre schlecht. Hat die NSA überhaupt nicht mitbekommen, dass sie gehackt oder von einem Insider überlistet wurde? Das wäre auch schlecht.