Aktualisiert 10.04.2014 21:46

OpenSSLDeutscher ist schuld am Sicherheits-Leck

Nein, es war nicht die NSA. Ein deutscher Programmierer hat einen fehlerhaften SSL-Code geschrieben, wodurch die riesige Sicherheits-Lücke im Internet auftauchte.

Nach Auftauchen der riesigen Sicherheitslücke im Internet wurde spekuliert, die NSA könnte dahinterstecken. Der deutsche Programmierer, der den Software-Code schrieb, sagt jetzt gegenüber «Spiegel online», es sei ein trivialer Fehler gewesen. Ähnlich äusserte er sich im «Sydney Morning Herald» vom Donnerstag.

Es sei ein unbeabsichtigter Fehler beim Verbessern der Verschlüsselungssoftware OpenSSL gewesen, beteuerte der Mann. «Ich habe an OpenSSL mitgearbeitet und eine Reihe von Bugfixes und neuer Features eingereicht. In einem Patch für ein neues Feature habe ich offenbar eine Längenprüfung übersehen», erklärte er in einer E-Mail an «Spiegel online». Der Fehler an sich sei «ziemlich trivial».

Nutzer müssen selbst eine Übersicht verschaffen

Nach dem Auftauchen des Problems war unter anderem spekuliert worden, der US-Geheimdienst NSA könnte seine Finger im Spiel gehabt haben. Unter den jüngsten Enthüllungen war auch bekannt geworden, dass die NSA die Verschlüsselung ins Visier genommen habe.

Die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes in Bern steht in Kontakt mit Telekommunikationsfirmen, Finanzinstituten und weiteren Unternehmen, die kritische Infrastrukturen betreiben. Viele Firmen hätten ihre Systeme bereits mit den verfügbaren Sicherheitsfixes versehen oder seien dabei, dies zu tun, erklärte die Behörde.

Eine Übersicht müssen sich die Nutzer selbst verschaffen. Diverse Testseiten für die Prüfung fraglicher Internetadressen wurden aufgeschaltet. Viele Firmen informieren nur zurückhaltend über das Problem. Missbräuche wurden bislang nicht bekannt.

Hunderttausende Websites

Der fehlerhafte Code in OpenSSL bestand seit rund zwei Jahren. Durch die Lücke mit der Bezeichnung «Heartbleed» (Herzbluten) können Angreifer die Verschlüsselung aushebeln und an die vermeintlich gesicherten Daten herankommen. Hunderttausende Websites waren betroffen. Grosse Internetdienste beeilten sich, die Schwachstelle in ihren Systemen zu stopfen.

Google gab bekannt, dass unter anderem die eigene Internet-Suche, der E-Mail-Dienst Gmail, Youtube und die Download-Plattform Play mit Updates sicher gemacht worden seien. Auch deutsche Banken und Sparkassen schliessen Sicherheitslücken in ihren Systemen.

Die SSL-Verschlüsselung wird von einer Vielzahl von Websites, E-Mail-Diensten und Chat-Programmen genutzt. OpenSSL ist einer der Baukästen des Sicherheitsprotokolls. Die Sicherheitslücke ermöglicht es Angreifern, wichtige Daten aus verschlüsselten Verbindungen zu stehlen – zum Beispiel Passwörter. Deshalb sollten Nutzer bei allen betroffenen und bereits abgesicherten Websites die Passwörter wechseln.

Betroffen von dem OpenSSL-Problem waren unter anderem Dienste des Internetriesen Yahoo. Andere grosse Anbieter wie Apple, Amazon oder Microsoft gaben dagegen Entwarnung. In Kanada wurde wegen der Sicherheitslücke die Möglichkeit gestoppt, Steuererklärungen online einzureichen.

Schwachstelle am «Herzschlag»

Die Schwachstelle findet sich in einer Funktion, die eigentlich im Hintergrund laufen sollte. Sie schickt bei einer verschlüsselten Verbindung regelmässig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Entsprechend heisst die Funktion «Heartbeat» (Herzschlag). Die Schwachstelle wurde deswegen «Heartbleed» genannt.

Kriminelle können so nicht nur vermeintlich geschützte Informationen auslesen, sondern sich auch für eine andere Website ausgeben, etwa für die einer Bank. Die Betreiber der Webserver können den Fehler mit einem Update beheben.

Der Plan sei eigentlich gewesen, die Schwachstelle ohne grosses Aufsehen im Hintergrund dichtzumachen, schrieb das «Wall Street Journal» unter Berufung auf informierte Personen. Angesichts der Sorge, dass Hacker davon bereits Wind bekommen hatten, sei die Lücke jedoch rasch öffentlich gemacht worden. (sda)

Deine Meinung

Fehler gefunden?Jetzt melden.