Vault 7: WikiLeaks veröffentlicht Hackertool-Sammlung der CIA

Die Whistleblowing-Website WikiLeaks hat unter dem Titel „Vault 7“ eine Sammlung von Hackertools und digitalen Überwachungswerkzeugen aus dem Fundus des US-Geheimdienstes CIA veröffentlicht. Diese machen klar: die Behörde kann in vielfältiger Weise ohne Wissen des Nutzers auf gängige elektronische Geräte zugreifen und diese überwachen. Eine große Überraschung ist das nicht. Der Umfang ist aber durchaus ebenso beachtlich wie beunruhigend. Vault 7 wirft eine Reihe von Fragen und Kritikpunkten auf, die kritische Menschen nun auch lautstark zur Sprache bringen sollten.

Vault 7: Das Rätselraten hat ein Ende

Im Falle von Vault 7 zeigte WikiLeaks wieder einmal seine Vorliebe für die große Inszenierung und das frühzeitige Etablieren einer Spannungskurve. Schon seit Monaten gab es auf dem Twitter-Account des Projekts immer wieder Andeutungen über ein spektakuläres Geheimnis zu lesen. Außer dem Namen „Vault 7“ wurden aber nur kleine Puzzleteile bekannt gegeben.

Mittlerweile hat das Rätselraten jedoch ein Ende – und WikiLeaks, in letzter Zeit auch mitunter durch eher enttäuschende Veröffentlichungen im Gespräch, hat diesmal eindrucksvoll unter Beweis gestellt, dass es auch noch spannende und relevante Leaks zuwege bringt. Die Vault-7-Veröffentlichung enthält eine große Menge von Material darüber, wie die CIA mit Hilfe von Hackertools auf handelsübliche elektronische Geräte (darunter Mobile Devices und Smart TVs) zugreifen und diese überwachen kann, ohne dass die Besitzer dies merken. Die Analyse des Materials durch Journalistinnen und Journalisten sowie Fachleute aus der IT-Branche hat bereits begonnen, wird aber wohl noch eine Weile andauern.

Überwachungstools für elektronische Geräte

Der erste Teil des Leaks, unter dem Titel „Year Zero“ veröffentlicht, enthält insgesamt 8761 Dokumente, wie aus der Pressemitteilung zur Veröffentlichung hervorgeht. Angeblich hat WikiLeaks damit erst knapp ein Prozent der insgesamt vorhandenen Vault-7-Dokumente veröffentlicht. Dennoch lassen sich schon einige interessante Einblicke gewinnen.

Das Fazit schon nach kurzem Studium der geleakten Dokumente: die CIA macht reichlichen Gebrauch von allen möglichen Hackertools und nutzt diese, um nichtsahnende Internet-Nutzer zu überwachen. Es ist davon auszugehen, dass der Behörde dabei kaum jemand genau auf die Finger schaut, schon weil wichtige Informationen geheim bleiben. So ist kaum auszuschließen, dass es auch zu Kompetenzüberschreitungen und juristisch fragwürdigen Aktionen kommt. Diese intransparente und keiner demokratischen Kontrolle unterworfene Vorgehensweise ist allen Geheimdiensten gemein und zutiefst problematisch.

Das Potential der gesammelten Daten ist unter Umständen erheblich. Es lassen sich alle möglichen Details über das Privatleben der überwachten Personen ableiten – schließlich nutzen die meisten Menschen ihre elektronischen Geräte fast täglich und integrieren sie in alle möglichen Aspekte ihres Lebens. Dementsprechend sensibel sind die Daten, die diesen Geräten anvertraut werden. Diese in die Hände einer Behörde geraten zu lassen, die kaum Rechenschaft über ihren Umgang mit den gesammelten Informationen ablegt, ist schlichtweg gefährlich.

CIA sammelte Zero-Day-Exploits

Laut WikiLeaks enthält der Daten-Fundus der CIA „Schadsoftware, Viren, Trojaner, waffenfähige Zero-Day-Exploits, Systeme zur Fernsteuerung von Schadsoftware und zugehörige Dokumentation“. Unter einem Zero-Day-Exploit verstehen IT-Sicherheitsfachleute eine Schwachstelle in einer Software, die dem Hersteller des Programms noch nicht bekannt ist. Für Angreifer, seien es Kriminelle oder staatliche Akteure, sind solche Sicherheitslücken sehr wertvoll, da sie einen Angriffsvektor ermöglichen, der kaum abgesichert werden kann. Die CIA sammelte laut Vault 7 Exploits unter anderem für Apples iPhone, Googles auf Smartphones und Tablets verwendetes Mobil-Betriebssystem Android, Microsoft Windows sowie Smart TVs der koreanischen Marke Samsung. Bei letzteren lässt sich mit Hilfe von der CIA entwickelter Schadsoftware das Mikrofon aktivieren und so der Besitzer belauschen

Neben den angesprochenen Problemen, die jede Form extremer staatlicher Überwachung mit sich bringt, birgt dieses Ansammeln von Software-Lücken auch noch ein weiteres, eher technisches Risiko.

Sicherheitslücken in Software gefährden alle Nutzer des betreffenden Programms oder Betriebssystems. Deswegen haben sich Expertinnen und Experten im Rahmen von „Responsible Disclosure“ darauf geeinigt, derartige Schwachstellen, die sie aufdecken, erst dem Hersteller der fraglichen Software zukommen zu lassen. Erst, wenn dieser Schritte zum Beheben des Fehlers unternommen hat, wird die Schwachstelle öffentlich gemacht – typischerweise durch das Ausliefern eines Software-Patches an die Nutzerinnen und Nutzer.

Die CIA geht indes ganz anders vor. In der Hoffnung, die gefundenen Sicherheitslücken selbst ausnutzen zu können, hält sie diese geheim, auch vor den Software-Entwicklern, wie unter anderem auch der IT-Sicherheits-Fachmann und NSA-Whistleblower Edward Snowden kritisiert. Damit nimmt der Geheimdienst billigend in Kauf, dass auch Dritte – von Internet-Kriminellen bis hin zu repressiven Regimes – die betreffenden Lücken ausnutzen können. Schließlich gibt es keinerlei Garantie dafür, dass nicht auch diese in der Lage sind, die Quellcode-Mängel zu finden und auszunutzen. So sinkt insgesamt das Sicherheitsniveau für die Nutzerinnen und Nutzer und diese sind vermehrt Angriffen mit möglicherweise ernsten Folgen ausgesetzt. Ein Handeln zum Wohle der Allgemeinheit sieht anders aus.

Fazit

Vault 7 ist ein höchst relevanter Leak, der Einblicke in die fragwürdigen Praktiken der CIA ermöglicht und aufzeigt, wie weit die Geräte, die wir nutzen, möglicherweise von den Geheimdiensten kompromittiert sind. Das ist eine erschreckende, aber sehr wertvolle Information. Wenn die weiteren Teile der Veröffentlichung halten, was „Year Zero“ verspricht, sind hier – eine umfassende und kompetente Analyse der Rohdaten durch Journalistinnen und Journalisten, Aktivistinnen und Aktivisten sowie Fachleute aus der IT-Branche vorausgesetzt – äußerst interessante Erkenntnisse zu erwarten. WikiLeaks hat sich eindrucksvoll zurückgemeldet.


Image (adapted) „It“ by blickpixel (CC0 Public Domain)


Schlagwörter: , , , , , , ,
Annika Kremer

Annika Kremer

schreibt regelmäßig über Netzpolitik und Netzaktivismus. Sie interessiert sich nicht nur für die Technik als solche, sondern vor allem dafür, wie diese genutzt wird und wie sie sich auf die Gesellschaft auswirkt.

More Posts - Website - Twitter - Facebook - Google Plus