Deutscher Programmierer verantwortlich für OpenSSL-Lücke
Heartbleed: Ein Deutscher Herz des Internets bluten
Foto: dpa
Der fehlerhafte Software-Code, der die aktuelle
Sicherheitslücke in vielen Web-Diensten ("Heartbleed")
auslöste, wurde von einem
Programmierer aus Deutschland geschrieben. Es sei ein
unbeabsichtigter Fehler beim Verbessern der Verschlüsselungssoftware
OpenSSL gewesen, beteuerte der Mann. "Ich habe an OpenSSL
mitgearbeitet und eine Reihe von Bugfixes und neuer Features
eingereicht. In einem Patch für ein neues Feature habe ich offenbar
eine Längenprüfung übersehen", erklärte er in einer E-Mail an
Spiegel Online. Der Fehler an sich sei "ziemlich trivial".
Er habe sich beim Verbessern der offenen Verschlüsselungssoftware OpenSSL im Programmiercode vertan, erklärte der Mann. Unterdessen wurde die Dimension des Problems noch größer: Auch die Netzwerk-Ausrüster Cisco und Juniper entdeckten die Lücke in ihrer Technik.
Fehler steckte seit zwei Jahren in SSL-Verschlüsseung
Heartbleed: Ein Deutscher Herz des Internets bluten
Foto: dpa
OpenSSL wird von hunderttausenden Websites eingesetzt, auch
Internet-Riesen wie Google und Yahoo waren von der Lücke betroffen.
Es ist eine offene Software, das heißt, jeder kann den
Programmiercode einsehen und weiterentwickeln.
OpenSSL ist einer der
Implementierungen des Sicherheitsprotokolls. Durch die Lücke mit der
Bezeichnung "Heartbleed" können Angreifer die Verschlüsselung
aushebeln und an die vermeintlich gesicherten Daten herankommen. Da
sie auch die Schlüssel erbeuten können, wären alle möglichen
Informationen betroffen.
Weil die Änderungen
dokumentiert werden, war es nur eine Frage der Zeit, bis entdeckt
wurde, wer den fehlerhaften Software-Code vor rund zwei Jahren
geschrieben und wer ihn abgesegnet hatte.
Nach Auftauchen des Problems war unter anderem spekuliert worden, der US-Geheimdienst NSA könnte seine Finger im Spiel gehabt haben. Unter den jüngsten Enthüllungen war auch bekanntgeworden, dass die NSA die Verschlüsselung ins Visier genommen habe. Der deutsche Programmierer studierte damals noch an einer Fachhochschule, inzwischen arbeitet er für T-Systems.
Cisco und Juniper, von denen ein großer Teil der Netzwerk-Technik hinter den Kulissen des Internet kommt, veröffentlichten Anweisungen zum schließen der Lücken in ihren Geräten. Nach Einschätzung von Fachleuten dürfte dieser Prozess länger dauern als bei Websites.
Fraglicher Codeschnippsel sollte Verbindung überprüfen
Bisher ist ein Fall bekanntgeworden, in dem vermutlich ein Angriff mit Fokus auf die Sicherheitslücke versucht wurde. Nach Erkenntnissen der Netzaktivisten der Electronic Frontier Foundation (EFF) gehören die IP-Adressen hinter dieser Attacke vom November 2013 zu einem Botnetz aus gekaperten Computern, das bereits versucht habe, Internet-Chats abzuhören. Eine solche Aktivität ergebe mehr Sinn für Geheimdienste als für Online-Kriminelle, mutmaßte die EFF.
Die Schwachstelle findet sich in einer Funktion, die eigentlich im Hintergrund laufen sollte. Sie schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Entsprechend heißt die Funktion "Heartbeat", Herzschlag. Die Schwachstelle wurde deswegen "Heartbleed" genannt.