OpenSSL

"Heartbleed"-Sicherheitslücke: NSA dementiert Ausnutzen

Es wäre eine neue Dimension des NSA-Skandals, wenn der Geheimdienst die gewaltige "Heartbleed"-Sicherheitslücke seit Jahren ausgenutzt hätte. Doch die US-Behörden wiesen einen entsprechenden Bericht der Nachrichtenagentur Bloomberg rasch zurück.
Von Marleen Frontzeck-Hornke mit Material von dpa

Schon nach Auftauchen des Problems war spekuliert worden, die NSA könnte ihre Finger im Spiel gehabt haben. Seit Monaten ist bekannt, dass der US-Geheimdienst die Verschlüsselung im Internet massiv ins Visier genommen hatte. Die NSA forschte aktiv nach Fehlern und versuchte auch, Schwachstellen einzuschleusen und Verschlüsselungs-Algorithmen aufzuweichen. Wenn der Geheimdienst eine Lücke von diesem Ausmaß gekannt und nichts gegen unternommen hätte, würde er damit Hunderte Millionen Nutzer schutzlos gegen mögliche Angriffe von Online-Kriminellen dastehen lassen.

Bloomberg hatte berichtete, das Ausnutzen der Schwach­stelle habe zum Standard-Werkzeug­kasten der NSA gehört. Bei Nachfragen vor Veröffentlichung des Berichts habe der Geheimdienst einen Kommentar zu der Information noch abgelehnt, schrieb die Nachrichten­agentur.

OpenSSL: Einer der Baukästen des Sicherheitsprotokolls

OpenSSL ist ein sogenanntes Open-Source-Projekt, bei dem jeder den Software-Code einsehen und weiter­entwickeln kann. Die Programmierer arbeiten unentgeltlich daran. Die Änderungen werden dokumentiert, damit konnte auch der Verantwortliche schnell ausfindig gemacht werden.

Die SSL-Verschlüsselung wird von einer Vielzahl von Webseiten, E-Mail-Diensten und Chat-Programmen genutzt. OpenSSL ist einer der Baukästen des Sicherheits­protokolls. Die Schwachstelle findet sich in einer Funktion, die im Hintergrund läuft. Sie schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Da der deutsche Programmierer eine sogenannte Längen­prüfung vergessen hatte, konnten bei eigentlich harmlosen Verbindungs­abfragen zusätzliche Informationen aus dem Speicher abgerufen werden. Die Funktion heißt "Heartbeat", Herzschlag. Die Schwach­stelle wurde in Anlehnung daran "Heartbleed" genannt.

Erst kürzlich wurden 18 Millionen von Passwörtern geknackt, möglicher­weise ist der Bug eine von vielen Erklärungen dafür. In unserem Editorial zu dem großen Passwort­klau erhalten Sie eine Einschätzung zu der Sicherheitslücke sowie, warum der BSI nur wenig dagegen unternehmen kann. Über eine spezielle Webseite des BSI [Link entfernt] kann die eigene E-Mail-Adresse überprüft werden. Wer von der Sicherheits­lücke betroffen ist, sollte unbedingt die Passwörter ändern.

vorherige Seite:
Eine der gravierendsten Sicherheitslücken in der Internet-Geschichte

Mehr zum Thema Heartbleed (OpenSSL-Lücke)