 |
# taz.de -- Sicherheitslücke „Heartbleed“: Eine Backdoor ist keine Backdoo… |
|
|
|
> Nach dem Fehler in der Verschlüsselungssoftware OpenSSL spekulieren |
|
> Experten, ob bewusst eine Hintertür geschaffen wurde. Etwa für |
|
> Geheimdienste. |
|
|
 |
Bild: Das Logo von Heartbleed. |
|
|
|
BERLIN taz | Nach der Entdeckung der schweren Sicherheitslücke „Heartbleed“ |
|
hat der Programmierer des fehlerhaften Codes Spekulationen über eine |
|
mögliche Absicht hinter der Schwachstelle widersprochen. „Es war ein |
|
einfacher Programmierfehler in einem neuen Feature, der unglücklicherweise |
|
in einem sicherheitsrelevanten Bereich aufgetreten ist“, sagte er der |
|
australischen Zeitung [1][Sydney Morning Herald]. |
|
|
|
Zuvor hatte es Spekulationen gegeben, dass die Lücke bewusst in die |
|
Software programmiert worden sein könnte. „Aus meiner Sicht riecht das wie |
|
eine Backdoor, es schmeckt wie eine Backdoor, es hat die Konsistenz einer |
|
Backdoor, und es sieht aus wie eine Backdoor“, schreibt etwa der |
|
IT-Sicherheitsexperte Felix von Leitner in seinem [2][Blog]. Der |
|
Programmierer des Codes hält dagegen, dass auch einem Prüfer der Fehler |
|
entgangen sei. |
|
|
|
Die Sicherheitslücke in der Verschlüsselungssoftware OpenSSL gilt als eine |
|
der größten jemals entdeckten, zunächst sollen eine halbe Million Webseiten |
|
betroffen gewesen sein. Dazu gehörten unter anderem web.de, Flickr oder die |
|
Hypovereinsbank. Als „katastrophal“ [3][bezeichnet] etwa der |
|
Sicherheitsexperte Bruce Schneier die Lücke. „Auf einer Skala von 1 bis 10 |
|
ist es die 11.“ Er gehe aber davon aus, dass es sich bei dem |
|
Programmierfehler um ein Missgeschick gehandelt habe. |
|
|
|
Eigentlich dient SSL dazu, dass Dritte, die zwischen dem heimischen |
|
Computer und etwa der Webseite einer Bank übermittelte Daten abfangen, nur |
|
unverständliche Zeichenketten zu sehen bekommen. Die Sicherheitslücke in |
|
der Software OpenSSL führt jedoch dazu, dass Angreifer an den Schlüssel |
|
herankommen können – und so die übermittelten Daten doch mitlesen können. |
|
Das können etwa Passwörter für das Login beim Email-Anbieter sein oder die |
|
PIN beim Online-Banking. |
|
|
|
## Lücke seit November genutzt |
|
|
|
Hintergrund der Spekulationen über eine mögliche Absicht bei dem Fehler |
|
sind auch die Enthüllungen über Überwachungsmethoden von US-Geheimdiensten |
|
aus den vergangenen Monaten. So wurde beispielsweise bekannt, dass die NSA |
|
eine Sicherheitslücke in einen Zufallszahlengenerator einbaute – dessen |
|
generierte Zahlen damit nicht mehr ganz so zufällig waren. Zufallszahlen |
|
spielen eine zentrale Rolle bei Verschlüsselungsmechanismen. |
|
|
|
Auch wenn die Lücke ein schlichter Programmierfehler war, ist es gut |
|
möglich, dass sie bereits ausgenutzt wurde: So wurde die Software-Version |
|
mit dem Fehler bereits im März 2012 veröffentlicht und wird seitdem |
|
eingesetzt. Zudem deuten laut der [4][Electronic Frontier Foundation] (EFF) |
|
Indizien darauf hin, dass die Lücke seit dem vergangenen November |
|
ausgenutzt wurde. Das dabei gezeigte Verhalten passe dabei eher zu |
|
Geheimdiensten als etwa zu Akteuren mit finanziellen Interessen, so die |
|
Einschätzung der Bürgerrechtsorganisation. |
|
|
|
Sicherheitsxperten raten Nutzern nun, ihre Passwörter zu ändern. Vorher |
|
lohnt es sich jedoch zu überprüfen, ob die Betreiber des jeweiligen |
|
Dienstes schon ein Software-Update eingespielt und ein neues |
|
Verschlüsselungszertifikat installiert haben, so dass der Fehler behoben |
|
ist. Das geht beispielsweise unter [5][filippo.io/Heartbleed]. |
|
|
|
Die Sicherheitslücke ist ein weiteres Argument für eine Technik namens |
|
Perfect Forward Secrecy. Sie verhindert, dass sich über Jahre |
|
aufgezeichneter verschlüsselter Datenverkehr nachträglich dechiffrieren |
|
lässt, wenn ein Angreifer an den Schlüssel gelangt. Doch auch in |
|
Deutschland wird sie nur zögerlich eingesetzt – so nutzt nur ein Teil der |
|
Banken überhaupt diese Möglichkeit. |
|
|
|
11 Apr 2014 |
|
|
|
## LINKS |
|
|
 |
[1] http://www.smh.com.au/it-pro/security-it/man-who-introduced-serious-heartbl… |
|
[2] http://blog.fefe.de |
|
[3] http://www.schneier.com/blog/archives/2014/04/heartbleed.html |
|
[4] http://www.eff.org/deeplinks/2014/04/wild-heart-were-intelligence-agencies-… |
|
[5] http://filippo.io/Heartbleed |
|
|
|
## AUTOREN |
|
|
|
Svenja Bergt |
|
|
|
## TAGS |
|
|
|
Heartbleed |
|
Sicherheitslücken |
|
Software |
|
Diskurs |
|
Big Data |
|
Hacker |
|
Finanzen |
|
Heartbleed |
|
Heartbleed |
|
Heartbleed |
|
Heartbleed |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Zehn Jahre „Fefes Blog“: Die Hassmaschine der Arschlochnerds |
|
|
|
„Fefes Blog“ ist diskursmächtig. Und ein Problem. Es ist das Leitmedium f�… |
|
den reaktionär-ignoranten Teil der männlichen deutschen Netzszene. |
|
|
|
Kommentar Datenschutz Unternehmen: Vertrauen ist schlecht |
|
|
|
Unternehmen werben gerne mit Vertrauen, das man in sie investieren könne. |
|
Doch gerade beim Datenverkehr gilt: Sicherheit ist besser. |
|
|
|
„Shellshock“-Lücke bei Apple und Linux: Die erste Angriffswelle läuft |
|
|
|
Nach dem Bekanntwerden einer 20 Jahre alten Sicherheitslücke wird diese |
|
schon ausgenutzt. Panik privater Nutzer ist unangebracht. |
|
|
|
„Heartbleed“ und Open-Source-Software: Sicherheit kostet |
|
|
|
Nach dem Sicherheitsdesaster „Heartbleed“ stellt sich die |
|
Finanzierungsfrage bei Open-Source-Projekten. Doch Geld kann neue Probleme |
|
schaffen. |
|
|
|
Datenklau durch „Heartbleed“: Polizei nimmt Kanadier fest |
|
|
|
Die kanadischen Behörden haben einen 19-Jährigen abgeführt. Er soll die |
|
Sicherheitslücke ausgenutzt haben, um an Steuernummern zu kommen. |
|
|
|
„Heartbleed“ und Kontrollverlust: Ich hasse Edward Snowden |
|
|
|
Jedes neue Sicherheitsleck, ob von der NSA gesteuert oder nur ein |
|
unschuldiger Bug, zeigt dem User allein eins: Hilflosigkeit gegenüber der |
|
Technik. |
|
|
|
Reaktionen auf „Heartbleed“: Ein ziemlich trivialer Fehler |
|
|
|
Die Sicherheitslücke „Heartbleed“ betrifft so gut wie alle, die das |
|
Internet nutzten. Kein Wunder also, dass im Netz ausführlich diskutiert |
|
wird. |
|
|
|
Sicherheitslücke im Netz: „Heartbleed“ geht alle an |
|
|
|
Eine Sicherheitslücke bei der Verschlüsselungstechnik OpenSSL trifft eine |
|
Vielzahl von Angeboten im Internet. Nutzern hilft nur ein Passwort-Wechsel. |
