Sicherheitslücke „Heartbleed“: Eine Backdoor ist keine Backdoor?
Nach dem Fehler in der Verschlüsselungssoftware OpenSSL spekulieren Experten, ob bewusst eine Hintertür geschaffen wurde. Etwa für Geheimdienste.
BERLIN taz | Nach der Entdeckung der schweren Sicherheitslücke „Heartbleed“ hat der Programmierer des fehlerhaften Codes Spekulationen über eine mögliche Absicht hinter der Schwachstelle widersprochen. „Es war ein einfacher Programmierfehler in einem neuen Feature, der unglücklicherweise in einem sicherheitsrelevanten Bereich aufgetreten ist“, sagte er der australischen Zeitung Sydney Morning Herald.
Zuvor hatte es Spekulationen gegeben, dass die Lücke bewusst in die Software programmiert worden sein könnte. „Aus meiner Sicht riecht das wie eine Backdoor, es schmeckt wie eine Backdoor, es hat die Konsistenz einer Backdoor, und es sieht aus wie eine Backdoor“, schreibt etwa der IT-Sicherheitsexperte Felix von Leitner in seinem Blog. Der Programmierer des Codes hält dagegen, dass auch einem Prüfer der Fehler entgangen sei.
Die Sicherheitslücke in der Verschlüsselungssoftware OpenSSL gilt als eine der größten jemals entdeckten, zunächst sollen eine halbe Million Webseiten betroffen gewesen sein. Dazu gehörten unter anderem web.de, Flickr oder die Hypovereinsbank. Als „katastrophal“ bezeichnet etwa der Sicherheitsexperte Bruce Schneier die Lücke. „Auf einer Skala von 1 bis 10 ist es die 11.“ Er gehe aber davon aus, dass es sich bei dem Programmierfehler um ein Missgeschick gehandelt habe.
Eigentlich dient SSL dazu, dass Dritte, die zwischen dem heimischen Computer und etwa der Webseite einer Bank übermittelte Daten abfangen, nur unverständliche Zeichenketten zu sehen bekommen. Die Sicherheitslücke in der Software OpenSSL führt jedoch dazu, dass Angreifer an den Schlüssel herankommen können – und so die übermittelten Daten doch mitlesen können. Das können etwa Passwörter für das Login beim Email-Anbieter sein oder die PIN beim Online-Banking.
Lücke seit November genutzt
Hintergrund der Spekulationen über eine mögliche Absicht bei dem Fehler sind auch die Enthüllungen über Überwachungsmethoden von US-Geheimdiensten aus den vergangenen Monaten. So wurde beispielsweise bekannt, dass die NSA eine Sicherheitslücke in einen Zufallszahlengenerator einbaute – dessen generierte Zahlen damit nicht mehr ganz so zufällig waren. Zufallszahlen spielen eine zentrale Rolle bei Verschlüsselungsmechanismen.
Auch wenn die Lücke ein schlichter Programmierfehler war, ist es gut möglich, dass sie bereits ausgenutzt wurde: So wurde die Software-Version mit dem Fehler bereits im März 2012 veröffentlicht und wird seitdem eingesetzt. Zudem deuten laut der Electronic Frontier Foundation (EFF) Indizien darauf hin, dass die Lücke seit dem vergangenen November ausgenutzt wurde. Das dabei gezeigte Verhalten passe dabei eher zu Geheimdiensten als etwa zu Akteuren mit finanziellen Interessen, so die Einschätzung der Bürgerrechtsorganisation.
Sicherheitsxperten raten Nutzern nun, ihre Passwörter zu ändern. Vorher lohnt es sich jedoch zu überprüfen, ob die Betreiber des jeweiligen Dienstes schon ein Software-Update eingespielt und ein neues Verschlüsselungszertifikat installiert haben, so dass der Fehler behoben ist. Das geht beispielsweise unter filippo.io/Heartbleed.
Die Sicherheitslücke ist ein weiteres Argument für eine Technik namens Perfect Forward Secrecy. Sie verhindert, dass sich über Jahre aufgezeichneter verschlüsselter Datenverkehr nachträglich dechiffrieren lässt, wenn ein Angreifer an den Schlüssel gelangt. Doch auch in Deutschland wird sie nur zögerlich eingesetzt – so nutzt nur ein Teil der Banken überhaupt diese Möglichkeit.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Krise bei Volkswagen
1.000 Befristete müssen gehen
Scholz stellt Vertrauensfrage
Traut mir nicht
Wahlprogramm der Union
Scharfe Asylpolitik und Steuersenkungen
Mord an UnitedHealthcare-CEO
Gewalt erzeugt Gewalt
Rechtsextreme Demo in Friedrichshain
Antifa, da geht noch was
Künftige US-Regierung
Donald Trumps Gruselkabinett