Reaktionen auf „Heartbleed“: Ein ziemlich trivialer Fehler

BERLIN taz | Verschlüsselungssoftware schützt vor Datenklau im Internet. Zumindest sollte sie das tun. Dass auch diese Software keineswegs unfehlbar ist, zeigt unter anderem die nun bekannt gewordene Sicherheitslücke „Heartbleed“ in der Verschlüsselungssoftware OpenSSL. So gut wie jeder Internetnutzer ist von dieser Schwachstelle betroffen. Entsprechend aufgeregt sind die Reaktionen im Netz.

Twitter-Nutzer gehen die Sache vor allem praktisch an und verbreiten den Aufruf, alle Passwörter zu ändern sowie Listen mit OpenSSL-Seiten. Auch beliebt ist dieser Comic, der erklärt, wie der „Heartbleed"-Bug funktioniert.

Viele beschäftigt die Frage, was hinter der Sicherheitslücke steckt. Fans von Verschwörungstheorien sahen sofort die NSA am Werk: „Was, wenn heartbleed ein groß angelegter NSA-Schachzug ist, um an neue Passwörter ran zu kommen?“, fragt @iCaramba. Inzwischen hat sich herausgestellt, dass „Heartbleed“ durch den Fehler des Programmierers zustande kam. „Der Fehler an sich ist ziemlich trivial“, schrieb dieser in einer Email an Spiegel Online. Für den Twitternutzer @FlorianHeigl ist das der „Satz des Jahres.“

Zunächst schien die gesamte Twitter-Gemeinde sich einig, dass es sich bei dem Schuldigen um einen Programmierer aus Deutschland handele. Ein Trugschluss, wie der Tweet von @bov belegt: „Das war kein Deutscher, der Heartbleed programmiert hat! Das war ein Österreicher!“ – eine Steilvorlage für Hitlervergleiche? Die funktionieren auch auf anderer Ebene. @helpnetsecurity schlägt vor: „Inzwischen ist Heartbleed so groß, dass jemand eine Hitler-Video-Parodie darüber machen müsste. Internet, was sagst du dazu?“

Hinter dem Spekulieren über Verschwörung und NSA (und Hitler) tritt für manche eine wichtige Frage zurück: Wie viel bringt Open Source? Nutzerin @hanhaiwen kommentiert: „Verschwörungstheorien statt der Frage, warum die Open-Source-Idee versagt hat. Souveräne Reaktion, liebes Internet, souverän! heartbleed“. @benni_b hält dagegen: „@hanhaiwen wer sagt denn, dass sie versagt hat? Der Fehler wurde ja gefunden. In den proprietären Counterparts sind ähnliche Fehler noch da.“ Auch der Mittelweg findet seine Unterstützer, so zum Beispiel @pfefferminz: „@hanhaiwen ich glaube nicht, dass die Idee versagt hat, sondern eher die Umsetzung.“

So sieht das auch @sebaso. Für ihn bestätigt „Heartbleed“ ein „klassisches 'wenn alle verantwortlich sind (weil jeder Code anschauen *könnte*) ist es am Ende niemand'-Problem.“ Die Diskussion um die Sicherheitslücke und die Lehren, die die Netzgemeinde daraus zieht, wird jedoch auch mit Humor geführt. @mspro schlägt für den künftigen Umgang mit den Codes vor: „Ich finde @jensbest sollte den Code vorlesen. Er hat eine gute Vorlesestimme.“ Der Nutzer @br3t kann sich bildlich vorstellen, wie eine Prüfung des OpenSSL-Codes aussehen könnte – und verlinkt auf dieses Gif.

Praxisorientiert ist auch die Überlegung von @AlexSchestag, der offenbar all seine Passwörter geändert hat: „Überlege, dem Verursacher von Heartbleed eine Rechnung für den Aufwand zu schicken.“

Manch einer, so wie @lettigem, gibt sich hingegen resigniert: „Früher, als die ganzen Sicherheitslücken nicht so publik gemacht wurden, war das Leben irgendwie einfacher. heartbleed“