NSA-Überwachungsskandal - Geheimdienst soll Sicherheitsfirma für Backdoor bezahlt haben (Update)

Neue Dokumente des Whistleblowers Edward Snowden belegen, dass der US-Geheimdienst NSA an das Sicherheitsunternehmen RSA Security 10 Millionen US-Dollar bezahlt hat. Die wahrscheinliche Gegenleistung: Ein unsicherer Algorithmus für die Berechnung von Zufallszahlen.

von Georg Wieselsberger,
24.12.2013 08:34 Uhr

Die National Security Agency hat laut neuen Dokumenten 10 Millionen US-Dollar an RSA bezahlt, ein Drittel des Jahresumsatzes der Firma.Die National Security Agency hat laut neuen Dokumenten 10 Millionen US-Dollar an RSA bezahlt, ein Drittel des Jahresumsatzes der Firma.

Verschlüsselungen verwenden Zufallszahlen, die auf verschiedene Weise berechnet werden können. RSA Security bietet mit BSafe eine entsprechende Software an, in der bei der Berechnung der Zufallszahlen schon im September absichtliche Fehler gefunden worden, die die Verschlüsselung unsicher machen. RSA hatte daraufhin vor seinem eigenen Produkt gewarnt. Doch neue Dokumente von Edward Snowden belegen nun, dass der US-Geheimdienst National Security Agency 10 Millionen US-Dollar an RSA bezahlt hat, damit diese in BSafe eine von der NSA entwickelte Berechnung von Zufallszahlen verwendet. Auf diese Weise verschlüsselte Daten sind für die NSA leicht zu entschlüsseln.

Für den Sicherheitsexperten Bruce Schneier ist nun laut cnet klar, dass »RSA bestochen wurde. Ich würde den Teufel tun und ihnen vertrauen.« Außerdem hält er es für sehr wahrscheinlich, dass auch andere Firmen Geld von der NSA angenommen haben und man damit niemandem in der Sicherheitsbranche mehr trauen könne.

Update: RSA Security hat in seinem Unternehmensblog Stellung zu den Berichten bezogen. Man habe nie einen »geheimen Vertrag« mit der NSA abgeschlossen, um einen bekanntermaßen fehlerhaften Zahlengenerator in die eigenen Verschlüsselungsbibliotheken einzubauen. Die Zusammenarbeit mit der NSA sei aber nie ein Geheimnis gewesen. Schließlich sei das Ziel des Unternehmens mehr Sicherheit für Unternehmen und die Regierung.

Man habe sich damals für den betroffenen Zahlengenerator entschlossen, weil er eine bessere Verschlüsselung versprach und die NSA zu diesem Zeitpunkt in der Sicherheitsbranche einen vertrauenswürdigen Ruf gehabt habe, Verschlüsselung zu stärken, nicht zu schwächen. Außerdem sei der Algorithmus auch als Standard anerkannt worden, darauf habe man sich verlassen. Nachdem im September 2013 Zweifel aufkamen, habe man dies auch den Kunden und den Medien mitgeteilt.

Allerdings meldet Heise, dass Zweifel an dem komplett von der NSA entwickelten Zufallszahlengenerator schon im Jahr 2007 aufkamen und manche Experten zu diesem Zeitpunkt bereits eine Backdoor für den Geheimdienst darin vermuteten.


Kommentare(63)

Nur angemeldete Benutzer können kommentieren und bewerten.