Das Arsenal der NSA bedroht uns alle
Mitte August tauchte im Internet ein Paket von professionellen Hacker-Werkzeugen auf. Das Paket enthält Informationen und Software, mit denen man etliche Sicherheitslücken in Firewalls renommierter Hersteller angreifen kann. Viele der ausgenutzten Sicherheitslücken waren bis dato noch nicht bekannt.
Wer die betroffene Hardware einsetzte, war also in akuter Gefahr, erfolgreich angegriffen zu werden. Dass die Gefahr durchaus ernst zu nehmen ist, zeigte sich in den folgenden Wochen, als Hersteller die beschriebenen Lücken durch Software-Aktualisierungen schlossen. Damit ist klar: Dieses Paket enthält tatsächlich Zero-Day-Exploits, also Sicherheitslücken, die den Herstellern bisher nicht bekannt sind, sowie Angriffswerkzeuge dafür. Auch die Analysen unabhängiger Sicherheitsforscher bestätigen die Echtheit der Exploits.
Anbieter der Exploits ist eine Gruppe, die sich „The Shadow Brokers“ nennt. Die Schattenmakler behaupten, dass die Exploits von der NSA stammen, und dass sie noch viel mehr davon haben. Das Komplettpaket soll versteigert werden. Es gibt Hinweise, dass die Exploits aus einem Angriff auf einen NSA-Server von 2013 stammen. Das ist drei Jahre her. Wo waren diese Cyberwaffen in den letzten drei Jahren? Hat die diesen Sommer jemand zufällig im Keller gefunden? Wohl kaum. Statt dessen ist anzunehmen, dass die Exploits seit drei Jahren aktiv für Angriffe genutzt worden sind. Von der NSA sowieso, und von den Hackern, die sie erbeutet haben, höchstwahrscheinlich auch.
Zu den betroffenen Herstellern gehören so illustre Namen wie Cisco, Juniper und FortiGate. Der Vorfall illustriert sehr schön, warum es dumm ist, Sicherheitslücken zu horten und auszunutzen, statt sie den Herstellern zu melden und schließen zu lassen. Sicherheitsexperten warnen seit Jahren davor, dass diese Cyberwaffen in die Hände von Kriminellen geraten können – wie man sieht, ist das längst passiert.