„Heartbleed“-GAU stellt Sicherheit des Internets in Frage

Es war ein banaler Patzer mit einer großen Wirkung: Eine Lücke in der Verschlüsselungssoftware OpenSSL machte hunderte Millionen Internet-Nutzer zum potenziellen Angriffsziel. Keiner weiß, wie viele solcher Fehler noch in Millionen Zeilen Software-Code schlummern.

Von Andrej Sokolow und Christoph Dernbach, dpa

Berlin - Die wohl gravierendste Sicherheitslücke in der Geschichte des Internets blieb über zwei Jahre lang unentdeckt, obwohl der Programmiercode für jedermann zugänglich war. Die Verschlüsselungs-Software OpenSSL, in der die fehlerhafte Programmzeile steckte, ist ein sogenanntes Open-Source-Projekt. Das heißt, jeder kann den Programm-Code einsehen und weiterentwickeln. Diese Offenheit sorge für mehr Sicherheit, betonen Verfechter der Open-Source-Bewegung. Nichts geschehe im Verborgenen. Doch am Ende war es nicht die OpenSSL-Community, die den Fehler bemerkte, sondern Mitarbeiter von Google und einer finnischen IT-Sicherheitsfirma.

„Fehler an sich ist ziemlich trivial“

„Der Fehler an sich ist ziemlich trivial“, schrieb der deutsche Programmierer, dem das verheerende Missgeschick unterlief, in einer E-Mail an Spiegel Online. Er hatte an einer Stelle eine sogenannte Längenprüfung vergessen. Damit konnten bei eigentlich harmlosen Verbindungs-Anfragen zusätzliche Informationen aus dem Speicher abgerufen werden. Darunter auch Passwörter und der Schlüssel, mit dem alle gesicherten Daten offen sichtbar werden. Das Entwicklungs-Verfahren bei OpenSSL sieht zwar die Prüfung von Ergänzungen vor, doch auch der Kontrolleur muss den Fehler übersehen haben.

„Heartbeat“ - Herzschlag - heißt die betroffene Funktion, die im Grunde nur prüfen soll, ob die Verbindung zwischen dem Server hinter einer Website und einem Nutzer noch steht. Die Experten der finnischen Firma Codenomicon tauften die Lücke entsprechend auf den Namen „Heartbleed“, denn dieses Herz blutet.

Angriff hinterlässt keine Spuren

Das Verhältnis von einem kleinen Fehler und seinen welterschütternden Konsequenzen ist faszinierend. Eine falsche Zeile traf hunderttausende Websites und allein schon mit betroffenen Diensten von Internet-Giganten wie Google und Yahoo potenziell hunderte Millionen Nutzer. Zudem schaffte es der Software-Bug auch noch in Netzwerk-Technik der Ausrüster Cisco und Juniper, über die ein Großteil des weltweiten Datenverkehrs läuft. Das besonders perfide dabei: Ein „Heartbleed“-Angriff hinterlasse keine Spuren, warnte Codenomicon. Rein theoretisch könnten also böswillige Hacker oder Geheimdienste wie die NSA seit langem alle möglichen vermeintlich mit Verschlüsselung geschützte Daten mitgelesen haben.

Der NSA-Skandal hat die Wahrnehmung solcher Fehler verändert. „Der Punkt an der Sache ist, dass wir ab jetzt IMMER davon ausgehen müssen, dass irgendwelche Bugs auch eine Backdoor sein könnten“, schrieb der deutsche Blogger und Schwachstellen-Jäger Felix von Leitner. „Wir werden uns mit der Frage beschäftigen müssen, wie wir verhindern, dass ein Code mit solchen Lücken überhaupt geschrieben wird.“ OpenSSL habe dabei als Open-Source-Projekt nicht die Droh- und Lockmittel eines Unternehmens, gab er zu bedenken: „Keiner der Entwickler wird bezahlt, niemandem könnte mit Kündigung gedroht werden.“

Mehr Unterstützung für OpenSSL-Entwickler gefordert

Der amerikanische Technologie-Kolumnist Dan Gillmor forderte die Internet-Nutzer auf, Projekte wie OpenSSL finanziell zu unterstützen. Trotz des gravierenden Fehlers seien die Entwickler Helden, die unentgeltlich an einer offen zugänglichen Software gearbeitet hätten, die das Internet sicherer gemacht habe. Trotz aktueller Panikmache wäre es ein Fehler, die Absicherung der Kommunikation profitorientierten Unternehmen zu überlassen. „Je mehr Augen auf offenen Programmcode gerichtet sind, desto wahrscheinlicher ist es, dass jemand einen Bug findet“, betonte Gillmor beim Guardian.

Je mehr Augen auf offenen Programmcode gerichtet sind, desto wahrscheinlicher ist es, dass jemand einen Bug findet
Technologie-Kolumnist Dan Gillmor

Zugleich wies der amerikanischen Programmierer Rusty Foster darauf hin, dass der Fehler auch auf die betagte Basis von OpenSSL mit der Programmiersprache C zurückgehe, die noch in den 60er Jahren ihren Anfang nahm. „Keine moderne Sprache würde ein solches Leck im Speicher zulassen, weil neuere Sprachen den Speichereinsatz automatisch managen“, schrieb er beim New Yorker.

Auch Onlineriesen nicht gefeit

Doch Fehler passieren auch bei kommerziellen Top-Adressen der Branche, die nach dem letzten Stand der Technik ausgerüstet sein müssen. Erst im Februar war Apple wegen eines ähnlichen Problems in die Kritik geraten. Die Umsetzung der SSL-Verschlüsselung für hauseigene Software auf iPhones, iPads und Mac-Computer enthielt mehrere fehlerhafte Code-Zeilen, die ebenfalls den Schutz aushebeln konnten. Auch dort war es der Fehler eines einzelnen Entwicklers, der unbemerkt geblieben war. Die bange Frage ist nun, wie viele solcher Schwachstellen noch unerkannt in den Millionen Software-Zeilen stecken, die das Internet am laufen halten. (dpa)

Heartbleed

Der fehlerhafte Software-Code, der die aktuelle Sicherheitslücke in vielen Web-Diensten auslöste, wurde von einem Programmierer aus Deutschland geschrieben. Es sei ein unbeabsichtigter Fehler beim Verbessern der Verschlüsselungssoftware OpenSSL gewesen, beteuerte der Mann.

Nach Auftauchen des Problems war unter anderem spekuliert worden, der US-Geheimdienst NSA könnte seine Finger im Spiel gehabt haben. Unter den jüngsten Enthüllungen war auch bekannt geworden, dass die NSA die Verschlüsselung ins Visier genommen habe. Der fehlerhafte Code in OpenSSL bestand seit rund zwei Jahren. Durch die Lücke mit der Bezeichnung „Heartbleed“ können Angreifer die Verschlüsselung aushebeln und an die vermeintlich gesicherten Daten herankommen. Hunderttausende Websites waren betroffen. Große Internetdienste beeilten sich, die Schwachstelle in ihren Systemen zu stopfen.

Google gab bekannt, dass unter anderem die eigene Internet-Suche, der E-Mail-Dienst GMail, YouTube und die Download-Plattform Play mit Updates sicher gemacht worden seien. Auch deutsche Banken und Sparkassen schließen Sicherheitslücken in ihren Systemen.

Die SSL-Verschlüsselung wird von einer Vielzahl von Webseiten, E-Mail-Diensten und Chat-Programmen genutzt. OpenSSL ist einer der Baukästen des Sicherheitsprotokolls. Die Sicherheitslücke ermöglicht es Angreifern, wichtige Daten aus verschlüsselten Verbindungen zu stehlen - zum Beispiel Passwörter. Deshalb sollten Nutzer bei allen betroffenen und bereits abgesicherten Websites die Passwörter wechseln.


Kommentieren


Schlagworte