Die NSA untersucht IT-Produkte auf Schwachstellen. Da die Agentur personell sehr gut ausgestattet ist, findet sie eine stattliche Anzahl von Sicherheitslücken. Außerdem gab es vor einiger Zeit Berichte, dass die NSA auch Schwachstellen ankauft.

Die Frage ist: Was macht sie mit diesem Fundus? Meldet sie die Lücken unverzüglich an die Hersteller, damit die ihre Produkte absichern können? Oder nutzt die NSA die Sicherheitslücken aus, um die Benutzer der betroffenen Systeme auszuforschen? In einer Meldung vom 30. Oktober 2015 legt die NSA dar, dass sie die meisten Sicherheitslücken meldet (91%), aber einige für sich behält. Das tut die NSA “aus Gründen der nationalen Sicherheit”, insbesondere um den Diebstahl intellektuellen Eigentums zu unterbinden, um weitere Schwachstellen zu finden und für Auslandsspionage.

Aus unserer Sicht als Sicherheitsdienstleister wäre es besser, wenn staatliche Stellen sämtliche Sicherheitslücken, die sie finden, unverzüglich an die Hersteller melden. Die Hersteller könnten die Lücken schließen; die IT insgesamt – und nicht zuletzt die unserer Kunden – wäre besser abgesichert. Aus der Sicht eines Geheimdienstes sieht das aber anders aus. Geheimdienste haben ein Interesse daran, Sicherheitslücken für sich zu behalten und zur Spionage zu nutzen. Dabei gibt es keine Garantie, dass nicht andere Organisationen die gleiche Lücke ebenfalls finden und ausnutzen.

Solange es Geheimdienste gibt, werden wir wohl damit leben müssen, dass diese die IT-Sicherheit schwächen. Im Grunde ist die Lage hier nicht anders als bei Militär und Polizei: Beide haben Waffen, und es ist prinzipiell nie hundertprozentig sicher, dass die Waffen nicht in falsche Hände geraten. Wir können nur hoffen, dass alle diese Organisationen unsere Sicherheit unterm Strich wirklich verbessern.