„Trivialer Fehler“: Deutscher programmierte Sicherheitslücke

Der fehlerhafte Software-Code, der die Internet-Sicherheitslücke „Heartbleed“ auslöste, wurde von einem Programmierer aus Deutschland geschrieben. Im Netz wird der junge Mann angeprangert, sogar Absicht wird ihm unterstellt. Jetzt meldete er sich zu Wort.

Symbolfoto
© Reuters

Berlin – Der fehlerhafte Software-Code, der die aktuelle Sicherheitslücke „Heartbleed“ in vielen Web-Diensten auslöste, wurde von einem Programmierer aus Deutschland geschrieben. Dieser hat sich nun gegen Vorwürfe zur Wehr gesetzt, er habe den Code im Auftrag von Geheimdiensten absichtlich falsch geschrieben. In Interviews beteuerte der Informatiker, dass es ein ungewollter Fehler gewesen sei. Er habe sich beim Verbessern der offenen Verschlüsselungssoftware OpenSSL im Programmiercode vertan, erklärte der Mann unter anderem Spiegel Online. Unterdessen wurde die Dimension des Problems noch größer: Auch die Netzwerk-Ausrüster Cisco und Juniper entdeckten die Lücke in ihrer Technik.

OpenSSL wird von hunderttausenden Websites eingesetzt, auch Internet-Riesen wie Google und Yahoo waren von der Lücke betroffen. Es ist eine offene Software, das heißt, jeder kann den Programmiercode einsehen und weiterentwickeln. Da Änderungen dokumentiert werden, war es nur eine Frage der Zeit, bis entdeckt wurde, wer den fehlerhaften Software-Code vor rund zwei Jahren geschrieben und wer ihn abgesegnet hatte.

„Ziemlich trivialer Fehler“

„Ich habe an OpenSSL mitgearbeitet und eine Reihe von Bugfixes und neuer Features eingereicht. In einem Patch für ein neues Feature habe ich offenbar eine Längenprüfung übersehen“, erklärte der Programmierer in einer E-Mail an Spiegel Online. Der Fehler an sich sei „ziemlich trivial“ gewesen. Auch ein Prüfer aus Großbritannien hatte den gravierenden Bug übersehen.

Nach Auftauchen des Problems war unter anderem spekuliert worden, der US-Geheimdienst NSA könnte seine Finger im Spiel gehabt haben. Unter den jüngsten Enthüllungen war auch bekannt geworden, dass die NSA die Verschlüsselung ins Visier genommen habe. Der deutsche Programmierer studierte damals noch an einer Fachhochschule, inzwischen arbeitet er für T-Systems.

TT-ePaper gratis testen und 2 VIP-Tickets für das Electric Love Festival gewinnen

Electric Love Festival

Die SSL-Verschlüsselung wird von einer Vielzahl von Webseiten, E-Mail-Diensten und Chat-Programmen genutzt. OpenSSL ist einer der Baukästen des Sicherheitsprotokolls. Durch die Lücke mit der Bezeichnung „Heartbleed“ können Angreifer die Verschlüsselung aushebeln und an die vermeintlich gesicherten Daten herankommen. Da sie auch die Schlüssel erbeuten können, wären alle möglichen Informationen betroffen.

Cisco und Juniper, von denen ein großer Teil der Netzwerk-Technik hinter den Kulissen des Internet kommt, veröffentlichten Anweisungen zum schließen der Lücken in ihren Geräten. Nach Einschätzung von Fachleuten dürfte dieser Prozess länger dauern als bei Websites.

Angriff mit Hilfe der Sicherheitslücke

Bisher ist ein Fall bekannt geworden, in dem vermutlich ein Angriff mit Fokus auf die Sicherheitslücke versucht wurde. Nach Erkenntnissen der Netzaktivisten der Electronic Frontier Foundation (EFF) gehören die IP-Adressen hinter dieser Attacke vom November 2013 zu einem Botnetz aus gekaperten Computern, das bereits versucht habe, Internet-Chats abzuhören. Eine solche Aktivität ergebe mehr Sinn für Geheimdienste als für Online-Kriminelle, mutmaßte die EFF.

Die Schwachstelle findet sich in einer Funktion, die eigentlich im Hintergrund laufen sollte. Sie schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Entsprechend heißt die Funktion „Heartbeat“, Herzschlag. Die Schwachstelle wurde deswegen „Heartbleed“ genannt. (dpa)


Kommentieren


Schlagworte