OpenSSL

"Heartbleed"-Sicherheitslücke: NSA dementiert Ausnutzen

Es wäre eine neue Dimension des NSA-Skandals, wenn der Geheimdienst die gewaltige "Heartbleed"-Sicherheitslücke seit Jahren ausgenutzt hätte. Doch die US-Behörden wiesen einen entsprechenden Bericht der Nachrichtenagentur Bloomberg rasch zurück.
Von Marleen Frontzeck-Hornke mit Material von dpa

Die US-Regierung hat einen Medienbericht dementiert, wonach der Geheimdienst NSA die jüngst öffentlich gewordene massive Sicherheits­lücke im Internet seit langem gekannt und ausgenutzt habe. Regierungs­behörden hätten erst im April mit dem Bericht von IT-Sicherheits­experten von der "Heartbleed"-Schwachstelle erfahren, erklärte die Sprecherin des Nationalen Sicherheits­rates, Caitlin Hayden.

Die US-Regierung verlasse sich ebenfalls auf die betroffene Verschlüsselungs­software OpenSSL, um Nutzer von Behörden-Websites zu schützen, betonte sie. Hätten US-Behörden inklusive der Geheimdienste die Schwachstelle entdeckt, hätten sie die Entwickler des Programms informiert, versicherte die Sprecherin.

Lücke sei der NSA seit "mindestens zwei Jahren" bekannt

NSA dementiert Ausnutzen der Heartbleed-Lücke NSA dementiert Ausnutzen der Heartbleed-Lücke
Bild: dpa, Montage: teltarif.de Zuvor hatte die Finanz­nachrichten­agentur Bloomberg unter Berufung auf zwei Personen geschrieben, die Lücke sei der NSA seit "mindestens zwei Jahren" bekannt gewesen und von ihr rege genutzt worden. Unter anderem seien damit Passwörter abgegriffen worden. Die Exklusiv-Informationen von Bloomberg sind üblicherweise sehr gut. Das Dementi der Regierung kam diesmal allerdings keine zwei Stunden danach und fiel deutlich klarer aus als die meisten bisherigen Stellungnahmen in dem seit zehn Monaten köchelnden NSA-Skandal.

Die erst diese Woche öffentlich gewordene Schwachstelle sorgt dafür, dass Angreifer die Verschlüsselung aushebeln und die Schlüssel sowie die vermeintlich geschützten Daten abgreifen können. Es ist eine der gravierendsten Sicherheits­lücken in der Internet-Geschichte.

Mehrere hunderttausend Websites betroffen

Da OpenSSL als Verschlüsselungs­programm weit verbreitet ist, waren mehrere hundert­tausend Websites betroffen. Mit Diensten der Internet-Giganten Yahoo und Google geht es potenziell um Hunderte Millionen Nutzer, die zu möglichen Angriffs­zielen wurden. Zudem fand sich der Fehler in weit verbreiteter Netzwerk-Technik von Cisco und Juniper. Angriffe über die Schwach­stelle hinterlassen keine Spuren auf dem Server.

Die Lücke geht auf einen deutschen Programmierer zurück, der beteuert, es sei ein ungewolltes Versehen gewesen. Er habe beim Verbessern einer Funktion von OpenSSL schlicht ein Element vergessen. Der Programmierer studierte damals noch an einer Fachhochschule, inzwischen arbeitet er für T-Systems.

Auf der nächsten Seite lesen Sie, warum angeblich die Sicherheits­lücke zum Standard-Werkzeug­kasten der NSA gehört haben soll.

nächste Seite:
Ausnutzen der Schwachstelle ein Standard-Werkzeug der NSA?

Mehr zum Thema Heartbleed (OpenSSL-Lücke)