Wenn stimmt, was das Wall Street Journal berichtet, dann hat es nach Edward Snowden mindestens vier weitere Fälle gegeben, in denen der NSA geheimes Material abhanden gekommen ist.

Die Zeitung berichtete am Donnerstag unter Berufung auf mehrere, aber durchgehend anonyme Quellen von einem bisher unbekannten Vorfall aus dem Jahr 2015. Demzufolge hat ein NSA-Auftragnehmer damals diverse Daten mit nach Hause genommen und auf seinem privaten Computer gespeichert. Darunter waren angeblich Anleitungen der NSA und entsprechender Code, um in fremde Netzwerke einzudringen, sowie Informationen darüber, wie der Geheimdienst US-amerikanische Netzwerke verteidigt. 

Brisante Informationen also, die für offensive und defensive Zwecke verwendet werden können. Von Russland unterstützte Hacker sollen das Material von dem NSA-Auftragnehmer gestohlen haben, nachdem sie die Dateien als das erkannt hatten, was sie sind. Möglich soll das gewesen sein, weil der Betroffene eine Version von Kasperskys Antiviren-Software verwendet hat. Erst Anfang 2016 sei der Vorfall entdeckt worden, schreibt die Zeitung.

Viel Konjunktiv also. Aber angenommen, die Story stimmt zumindest in den Grundzügen: Dann hat die NSA seit Jahren ein ernsthaftes Problem damit, ihre eigenen Geheimnisse zu schützen.

  • Der ehemalige NSA-Auftragnehmer Edward Snowden hat 2013 ein riesiges Archiv von Präsentationen, internen Schriftwechseln und anderen Dokumenten an Journalisten weitergegeben.
  • 2016 wurde der Auftragsarbeiter Harold T. Martin III. festgenommen, weil er sogar noch größere Mengen an NSA-internem Material mit nach Hause genommen und in seinem Auto und seiner Gartenhütte aufbewahrt hat, ohne dass es beim Geheimdienst irgendjemandem aufgefallen wäre.
  • Etwa zur selben Zeit, als Martin festgenommen wurde, begannen Unbekannte, die sich The Shadow Brokers nennen, verschiedene NSA-Werkzeuge im Internet zu verbreiten und zu versteigern. Woher sie das Material haben, ist bis heute unklar. Aber sie sind noch immer aktiv und ihre Veröffentlichungen blamieren die NSA noch immer.
  • Im Sommer dieses Jahres wurde außerdem die 25-jährige Reality Winner festgenommen, nachdem sie ein als "streng geheim" eingestuftes Dokument über die Erkenntnisse der NSA zur angeblich versuchten russischen Einflussnahme auf die US-Präsidentschaftswahl an die Medien weitergegeben hatte.

Der neue Fall wäre also der fünfte innerhalb von vier Jahren. "Das nächste blaue Auge für die NSA" nennt es Politico und zitiert den republikanischen Senator Ben Sasse: "Die NSA muss den Kopf aus dem Sand bekommen und ihr Dienstleisterproblem lösen. Russland ist eindeutig ein Gegner im Cyberspace und wir können uns diese selbst zugefügten Schäden nicht leisten." Laut dem Wall Street Journal ist NSA-Direktor Mike Rogers offiziell gerügt worden, weil er die Leaks aus seiner Behörde noch nicht stoppen konnte.

Ein unfähiger Geheimdienst ist doppelt gefährlich

Diese Leaks blamieren aber nicht nur die NSA, sie betreffen mitunter auch Hunderttausende Internetnutzer. Die globale Attacke mit der Ransomware WannaCry im vergangenen Mai war nur möglich, weil die Täter eine Sicherheitslücke in Windows ausnutzten, die nur der NSA bekannt war – bis die Shadow Brokers sie veröffentlichten. Anders gesagt: So lange die NSA ihr Wissen um IT-Sicherheitslücken offensiv ausnutzt, statt den Herstellern zu helfen, sie zu schließen, gefährdet sie alle Nutzer der entsprechenden Produkte. Das gilt umso mehr, wenn sie dieses Wissen nicht geheim halten kann.

Der Berichts des Wall Street Journals betrifft ebenfalls Kaspersky Labs, beziehungsweise alle Anbieter von Antiviren-Software. Drei Deutungsmöglichkeiten lässt er zu.

Entweder hat das russische Unternehmen über seine Software erkannt, was für NSA-Dateien der Auftragnehmer auf seinen privaten Rechner geladen hat, und dann russische Stellen informiert. Oder die Täter haben eine bisher unbekannte Schwachstelle in der Kaspersky-Software des NSA-Auftragnehmers ausgenutzt, um ihn zu hacken. Was aber voraussetzen würde, dass sie schon vorher wussten, bei wem und wonach sie suchen müssen. Oder Kasperskys eigenes Netzwerk war kompromittiert.

Kaspersky Lab weist Verbindungen zur russischen Regierung zurück

Technisch möglich wäre das alles. Antiviren-Software, nicht nur die von Kaspersky, hat üblicherweise Zugriff auf fast alle Dateien eines Computers, auf dem sie installiert ist – sie muss die Dateien schließlich auf Schadsoftware scannen. Manche davon werden zur genaueren Untersuchung und zum Abgleich mit bekannter Malware auch auf die Server des Anbieters hochgeladen. Dass die NSA-Dateien auf diesem Wege bei Kaspersky gelandet sind, wäre also theoretisch denkbar. Dann müssten sie aber immer noch jemanden beim Unternehmen aufgefallen und verstanden worden sein, und Kaspersky hätte daraufhin russische Behörden informieren müssen.

Aber Kaspersky Lab schließt jede "unangemessene Verbindung zu Regierungen, einschließlich der russischen" kategorisch aus und nennt die Verbreitung unbewiesener Behauptungen über das Unternehmen durch die Medien "unglücklich". Gründer Eugene Kaspersky schreibt in einem Blogpost zudem von "Sensationalismus" und einem "Skript wie dem eines drittklassigen Films".

Dass Kasperskys Software auf dem Computer des Festgenommenen gehackt worden ist, schließt er darin hingegen nicht komplett aus. Es gibt sogar ein konkretes Beispiel dafür: Im September 2015 hatte ein Google-Sicherheitsforscher mehrere Schwachstellen in der Antivirus-Software entdeckt.

Alternativ könnte das Netzwerk von Kaspersky gehackt worden sein. Mitte 2015 hatte das Unternehmen jedenfalls eingeräumt, im eigenen System ein besonders ausgefeiltes Spionageprogramm entdeckt zu haben.

Manche Experten sehen in dem aktuellen Bericht eine Erklärung für die jüngste Entscheidung des US-Heimatschutzministeriums (DHS), allen US-Behörden die Nutzung von Kaspersky-Produkten zu untersagen. Begründet wurde das damit, dass russische Geheimdienste gesetzlich ermächtigt seien, Unterstützung von Kaspersky einzuholen. Allerdings ist die Entscheidung des DHS lange nach der angeblichen Entdeckung des jetzt bekannt gewordenen Leaks erfolgt, ein Zusammenhang ist also nicht zwingend.

Gut möglich, dass sich mindestens Teile des Wall-Street-Journal-Berichts noch als unwahr oder ungenau erweisen. Die New York Times etwa hat die Story bereits aufgegriffen. Ihre eigenen, ebenfalls nicht namentlich genannten Quellen beschreiben den Betroffenen als NSA-Angestellten, nicht als Auftragnehmer. Aber das macht die Sache auch nicht besser.