# taz.de -- Sicherheitslücke „Heartbleed“: Eine Backdoor ist keine Backdoo… | |
> Nach dem Fehler in der Verschlüsselungssoftware OpenSSL spekulieren | |
> Experten, ob bewusst eine Hintertür geschaffen wurde. Etwa für | |
> Geheimdienste. | |
Bild: Das Logo von Heartbleed. | |
BERLIN taz | Nach der Entdeckung der schweren Sicherheitslücke „Heartbleed“ | |
hat der Programmierer des fehlerhaften Codes Spekulationen über eine | |
mögliche Absicht hinter der Schwachstelle widersprochen. „Es war ein | |
einfacher Programmierfehler in einem neuen Feature, der unglücklicherweise | |
in einem sicherheitsrelevanten Bereich aufgetreten ist“, sagte er der | |
australischen Zeitung [1][Sydney Morning Herald]. | |
Zuvor hatte es Spekulationen gegeben, dass die Lücke bewusst in die | |
Software programmiert worden sein könnte. „Aus meiner Sicht riecht das wie | |
eine Backdoor, es schmeckt wie eine Backdoor, es hat die Konsistenz einer | |
Backdoor, und es sieht aus wie eine Backdoor“, schreibt etwa der | |
IT-Sicherheitsexperte Felix von Leitner in seinem [2][Blog]. Der | |
Programmierer des Codes hält dagegen, dass auch einem Prüfer der Fehler | |
entgangen sei. | |
Die Sicherheitslücke in der Verschlüsselungssoftware OpenSSL gilt als eine | |
der größten jemals entdeckten, zunächst sollen eine halbe Million Webseiten | |
betroffen gewesen sein. Dazu gehörten unter anderem web.de, Flickr oder die | |
Hypovereinsbank. Als „katastrophal“ [3][bezeichnet] etwa der | |
Sicherheitsexperte Bruce Schneier die Lücke. „Auf einer Skala von 1 bis 10 | |
ist es die 11.“ Er gehe aber davon aus, dass es sich bei dem | |
Programmierfehler um ein Missgeschick gehandelt habe. | |
Eigentlich dient SSL dazu, dass Dritte, die zwischen dem heimischen | |
Computer und etwa der Webseite einer Bank übermittelte Daten abfangen, nur | |
unverständliche Zeichenketten zu sehen bekommen. Die Sicherheitslücke in | |
der Software OpenSSL führt jedoch dazu, dass Angreifer an den Schlüssel | |
herankommen können – und so die übermittelten Daten doch mitlesen können. | |
Das können etwa Passwörter für das Login beim Email-Anbieter sein oder die | |
PIN beim Online-Banking. | |
## Lücke seit November genutzt | |
Hintergrund der Spekulationen über eine mögliche Absicht bei dem Fehler | |
sind auch die Enthüllungen über Überwachungsmethoden von US-Geheimdiensten | |
aus den vergangenen Monaten. So wurde beispielsweise bekannt, dass die NSA | |
eine Sicherheitslücke in einen Zufallszahlengenerator einbaute – dessen | |
generierte Zahlen damit nicht mehr ganz so zufällig waren. Zufallszahlen | |
spielen eine zentrale Rolle bei Verschlüsselungsmechanismen. | |
Auch wenn die Lücke ein schlichter Programmierfehler war, ist es gut | |
möglich, dass sie bereits ausgenutzt wurde: So wurde die Software-Version | |
mit dem Fehler bereits im März 2012 veröffentlicht und wird seitdem | |
eingesetzt. Zudem deuten laut der [4][Electronic Frontier Foundation] (EFF) | |
Indizien darauf hin, dass die Lücke seit dem vergangenen November | |
ausgenutzt wurde. Das dabei gezeigte Verhalten passe dabei eher zu | |
Geheimdiensten als etwa zu Akteuren mit finanziellen Interessen, so die | |
Einschätzung der Bürgerrechtsorganisation. | |
Sicherheitsxperten raten Nutzern nun, ihre Passwörter zu ändern. Vorher | |
lohnt es sich jedoch zu überprüfen, ob die Betreiber des jeweiligen | |
Dienstes schon ein Software-Update eingespielt und ein neues | |
Verschlüsselungszertifikat installiert haben, so dass der Fehler behoben | |
ist. Das geht beispielsweise unter [5][filippo.io/Heartbleed]. | |
Die Sicherheitslücke ist ein weiteres Argument für eine Technik namens | |
Perfect Forward Secrecy. Sie verhindert, dass sich über Jahre | |
aufgezeichneter verschlüsselter Datenverkehr nachträglich dechiffrieren | |
lässt, wenn ein Angreifer an den Schlüssel gelangt. Doch auch in | |
Deutschland wird sie nur zögerlich eingesetzt – so nutzt nur ein Teil der | |
Banken überhaupt diese Möglichkeit. | |
11 Apr 2014 | |
## LINKS | |
[1] http://www.smh.com.au/it-pro/security-it/man-who-introduced-serious-heartbl… | |
[2] http://blog.fefe.de | |
[3] http://www.schneier.com/blog/archives/2014/04/heartbleed.html | |
[4] http://www.eff.org/deeplinks/2014/04/wild-heart-were-intelligence-agencies-… | |
[5] http://filippo.io/Heartbleed | |
## AUTOREN | |
Svenja Bergt | |
## TAGS | |
Heartbleed | |
Sicherheitslücken | |
Software | |
Diskurs | |
Big Data | |
Hacker | |
Finanzen | |
Heartbleed | |
Heartbleed | |
Heartbleed | |
Heartbleed | |
## ARTIKEL ZUM THEMA | |
Zehn Jahre „Fefes Blog“: Die Hassmaschine der Arschlochnerds | |
„Fefes Blog“ ist diskursmächtig. Und ein Problem. Es ist das Leitmedium f�… | |
den reaktionär-ignoranten Teil der männlichen deutschen Netzszene. | |
Kommentar Datenschutz Unternehmen: Vertrauen ist schlecht | |
Unternehmen werben gerne mit Vertrauen, das man in sie investieren könne. | |
Doch gerade beim Datenverkehr gilt: Sicherheit ist besser. | |
„Shellshock“-Lücke bei Apple und Linux: Die erste Angriffswelle läuft | |
Nach dem Bekanntwerden einer 20 Jahre alten Sicherheitslücke wird diese | |
schon ausgenutzt. Panik privater Nutzer ist unangebracht. | |
„Heartbleed“ und Open-Source-Software: Sicherheit kostet | |
Nach dem Sicherheitsdesaster „Heartbleed“ stellt sich die | |
Finanzierungsfrage bei Open-Source-Projekten. Doch Geld kann neue Probleme | |
schaffen. | |
Datenklau durch „Heartbleed“: Polizei nimmt Kanadier fest | |
Die kanadischen Behörden haben einen 19-Jährigen abgeführt. Er soll die | |
Sicherheitslücke ausgenutzt haben, um an Steuernummern zu kommen. | |
„Heartbleed“ und Kontrollverlust: Ich hasse Edward Snowden | |
Jedes neue Sicherheitsleck, ob von der NSA gesteuert oder nur ein | |
unschuldiger Bug, zeigt dem User allein eins: Hilflosigkeit gegenüber der | |
Technik. | |
Reaktionen auf „Heartbleed“: Ein ziemlich trivialer Fehler | |
Die Sicherheitslücke „Heartbleed“ betrifft so gut wie alle, die das | |
Internet nutzten. Kein Wunder also, dass im Netz ausführlich diskutiert | |
wird. | |
Sicherheitslücke im Netz: „Heartbleed“ geht alle an | |
Eine Sicherheitslücke bei der Verschlüsselungstechnik OpenSSL trifft eine | |
Vielzahl von Angeboten im Internet. Nutzern hilft nur ein Passwort-Wechsel. |