Im Sport gilt die Faustregel "Angriff gewinnt das Spiel, Abwehr gewinnt die Meisterschaft". In der NSA ist es umgekehrt. Um die Interessen der USA zu schützen, setzt der Geheimdienst vorrangig auf Attacke. Es gibt in der NSA zwar auch eine defensive Abteilung, die versucht, das Internet für alle sicherer zu machen. Aber nach allem, was man über die Organisationsstruktur weiß, ist die vergleichsweise klein. Wie im Sport gilt deshalb auch in der Spionage: Wer ständig angreift, läuft Gefahr, in einen Konter zu laufen.

Genau das ist nun passiert. Unbekannte haben eigentlich geheime Waffen der NSA in die Finger bekommen und veröffentlicht, so viel ist sicher. Die Täter nennen sich The Shadow Brokers. Wie lange sie in Besitz der Informationen waren, ist unklar, möglicherweise waren es knapp drei Jahre. In dieser Zeit hätten sie ebenso wie die NSA bestimmte Firewalls von Cisco und Juniper austricksen und kryptografische Schlüssel für bestimmte VPN-Verbindungen abfangen können. Sie hatten also mächtige Werkzeuge, um sich unbemerkt in fremde Netzwerke zu hacken. Dann entschieden sie sich, es der ganzen Welt zu verraten und die NSA damit zu blamieren.

Nun diskutiert die Fachwelt, ob der Geheimdienst bei seiner Offensivausrichtung bleiben und weitere Konter riskieren soll, oder ob er besser die Defensive stärkt und sein Wissen um Sicherheitslücken, die er bisher für seine Hacks ausnutzt, mit Soft- und Hardwareherstellern teilt. Die könnten die Lücken schließen und ihre Produkte für alle Anwender sicherer machen. Vor Kriminellen, vor fremden Geheimdiensten, aber eben auch vor der NSA.

Deutsche Strafverfolger sollen zu Hackern werden

Diese Debatte wird bald auch die deutschen Sicherheitsbehörden betreffen. Denn aus dem Entwurf zur Cybersicherheitsstrategie für Deutschland 2016 sowie aus den Plänen zum Aufbau der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (Zitis) geht zumindest indirekt hervor, dass deutsche Ermittler und Nachrichtendienste in Zukunft verstärkt zu Hackern werden sollen.

Zero-Day lautet der zentrale Begriff, um den es dabei geht. Zero-Day-Sicherheitslücken heißen Schwachstellen in Soft- oder Hardware, von denen der jeweilige Hersteller zunächst selbst nichts weiß. In dem Moment, in dem jemand sie findet, hat das Unternehmen null Tage Zeit, um durch ein Update oder andere Maßnahmen zu verhindern, dass ein Angreifer die Schwachstelle mit einem Zero-Day-Exploit ausnutzt. In der Debatte gibt es zwei Seiten.

Die Anhänger der Defensive sagen: Wer von Zero-Days weiß, aber niemandem etwas davon sagt, gefährdet die Sicherheit aller Nutzer sowie den Ruf der (heimischen) IT-Industrie. Und es ist naiv zu glauben, man könne dieses Wissen beliebig lange geheim halten. Das haben die Shadow Brokers gerade vorgeführt.

Ist Angriff die beste Landesverteidigung?

Die Verfechter der Offensive hingegen argumentieren: Angriff ist die beste Landesverteidigung. Zero-Days sind teure, dringend benötigte Waffen in der Welt der Spionage sowie im Kampf gegen Kriminalität und Terrorismus, weshalb es letztlich der nationalen Sicherheit zugute kommt, wenn sie nicht offengelegt werden.

Der Sicherheitsforscher Robert Graham hat Verständnis für die Abteilung Attacke. In seinem Blog schreibt er, Zero-Days würden "nicht zufällig entdeckt oder von der Zero-Day-Fee unters Kopfkissen der NSA gelegt". Vielmehr gebe der Geheimdienst Hunderttausende Dollar aus, um Zero-Days durch eigene Forschung in zuvor ausgesuchten Produkten zu finden oder auf dem Markt zu kaufen. Graham fragt: "Lohnt es sich für die Regierung, 100.000 Dollar auszugeben, um eine Zero-Day-Sicherheitslücke bei Cisco zu finden und sie dem Unternehmen zu melden? Oder lohnt es sich für die Regierung, 100.000 Dollar auszugeben, um eine solche Lücke bei Cisco zu finden und sie dazu zu nutzen, Terroristen zu hacken?" Die Antworten lauten für Graham, in dieser Reihenfolge, nein und ja. Allein schon, weil es so viele unentdeckte Sicherheitslücken gebe, dass jede geschlossene allenfalls einen Tropfen auf den heißen Stein bedeute.