: Aus Versehen mit Hintertür
DATENSICHERHEIT Ein Programmierfehler führt dazu, dass Millionen von Passwörtern gehackt sein können. Bürgerrechtler vermuten, dass Geheimdienste diese Sicherheitslücke schon seit November ausgenutzt haben
VON SVENJA BERGT
BERLIN taz | Nach der Entdeckung der schweren Sicherheitslücke „Heartbleed“ hat der Programmierer des fehlerhaften Codes Unterstellungen, es handle sich möglicherweise um eine absichtliche Schwachstelle, widersprochen. „Es war ein einfacher Programmierfehler in einem neuen Feature, unglücklicherweise in einem sicherheitsrelevanten Bereich“, sagte er der australischen Zeitung Sydney Morning Herald.
Zuvor hatte es Spekulationen gegeben, dass die Lücke bewusst in die Software programmiert worden sein könnte. „Aus meiner Sicht riecht das wie eine Backdoor, es schmeckt wie eine Backdoor, es hat die Konsistenz einer Backdoor, und es sieht aus wie eine Backdoor“, schrieb etwa der IT-Sicherheitsexperte Felix von Leitner in seinem Blog. Der Programmierer des Codes hält dagegen, dass auch einem Prüfer der Fehler entgangen sei.
Die Sicherheitslücke in der Verschlüsselungssoftware OpenSSL gilt als eine der größten jemals entdeckten. Zunächst soll eine halbe Million Websites betroffen gewesen sein, darunter Yahoo, web.de, Flickr und die Hypovereinsbank. Als „katastrophal“ bezeichnet der Sicherheitsexperte Bruce Schneier die Lücke. „Auf einer Skala von 1 bis 10 ist es die 11.“ Er gehe aber davon aus, dass es sich bei dem Programmierfehler um ein Missgeschick gehandelt habe.
Eigentlich dient SSL dazu, dass Dritte, die zwischen dem heimischen Computer und etwa der Website einer Bank übermittelte Daten abfangen, nur unverständliche Zeichenketten zu sehen bekommen. Die Sicherheitslücke in OpenSSL führt jedoch dazu, dass Angreifer an den Schlüssel gelangen und so die übermittelten Daten doch lesen können. Das können etwa Passwörter für das Login beim E-Mail-Anbieter sein oder die PIN beim Onlinebanking.
Den Spekulationen über einen absichtlichen Programmierfehler gaben auch die Enthüllungen der Überwachungsmethoden von US-Geheimdiensten aus den letzten Monaten Nahrung. So wurde bekannt, dass die NSA eine Sicherheitslücke in einen Zufallszahlengenerator einbaute, dessen generierte Zahlen damit nicht mehr ganz so zufällig waren. Zufallszahlen spielen eine zentrale Rolle bei Verschlüsselungsmechanismen.
Laut der Bürgerrechtsorganisation Electronic Frontier Foundation gibt es Indizien dafür, dass die Lücke in OpenSSL seit letztem November auch ausgenutzt wird. Das dabei gezeigte Verhalten passe eher zu Geheimdiensten als etwa zu Akteuren mit finanziellen Interessen. Die Softwareversion mit dem Fehler wird seit März 2012 eingesetzt. Sicherheitsexperten raten Nutzern nun, ihre Passwörter zu ändern. Es lohnt sich, zuvor zu überprüfen, ob der Betreiber des jeweiligen Dienstes schon ein Software-Update eingespielt und ein neues Verschlüsselungszertifikat installiert hat, sodass der Fehler behoben ist. Das geht etwa unter filippo.io/Heartbleed.
Die Sicherheitslücke ist ein weiteres Argument für eine Technik namens Perfect Forward Secrecy. Sie verhindert, dass sich über Jahre aufgezeichneter verschlüsselter Datenverkehr nachträglich dechiffrieren lässt, wenn ein Angreifer an den Schlüssel gelangt. Doch auch in Deutschland wird sie nur zögerlich eingesetzt – so nutzt nur ein Teil der Banken diese Möglichkeit.
Argumente SEITE 11