Heartbleed-Bug: Das Internet im Kreuzverhör der NSA

Heartbleed ist ein absoluter Super-GAU, weil sich niemand mehr im Internet sicher fühlen kann. Unzählige Webserver sind von dieser Lücke direkt betroffen.

National Security Operations Center
National Security Operations Center National Security Operations Center

Der Heartbleed-Bug ist zurzeit in aller Munde. Diese Sicherheitslücke betrifft leider nicht nur einige wenige Anwendungen. OpenSSL ist eine der wichtigsten Komponenten im Web. Der Fehler in der Open-Source-Bibliothek war für mindestens 27 Monate aktiv. Worum es sich dabei handelt, soll im folgenden Artikel beschrieben werden.


Als Heartbleed-Bug wird ein wahrscheinlich mit Absicht implementierter Fehler im Quellcode der Sicherheitssoftware „OpenSSL“ bezeichnet. OpenSSL wird auch von großen Internet-Giganten, wie Google, Microsoft, Yahoo, Instagram, Facebook etc. verwendet, um die Daten ihrer Benutzer zu verschlüsseln. Diese Sicherheitslücke ermöglicht es, die verschlüsselten Daten der Benutzer auszulesen. Wahrscheinlich gelingt dies sogar, ohne dabei Spuren zu hinterlassen. Der Bug wurde von Neel Mehta (Google Security) und unabhängig davon, von Sicherheitsingenieuren der Firma Codenomicon entdeckt. Angeblich war diese Schwachstelle in der Open-Source-Bibliothek vorher unbekannt.

Der Angriff auf einen Server via Heartbleed ist vergleichsweise leicht durchführbar. Wer hingegen die verschlüsselten Daten eines Clients auslesen will, muss entweder eine Man-in-the-Middle-Attacke durchführen oder das Opfer dazu bringen, sich mit einem manipulierten Server zu verbinden. Da OpenSSL langfristig als sicher galt, haben es zahlreiche Unternehmen fest in ihre Online-Dienste integriert. In der Konsequenz ist so gut wie jeder Internetnutzer von Heartbleed betroffen.

Heartbleed: Wie entstand der Fehler?

Dazu muss man wissen, OpenSSL ist ein Open-Source-Projekt. Das bedeutet, jeder kann den Quellcode einsehen, bearbeiten und unter Umständen sogar eine eigene Version der Software veröffentlichen, die wiederum Dritte benutzen dürfen. Einem deutschen Programmierer wird vorgeworfen, er habe diese Schwachstelle im Verschlüsselungsprotokoll eigenhändig erstellt und in den Quellcode integriert. In seiner wissenschaftlichen Abhandlung weist der frühere Student explizit auf die Möglichkeiten zur Ausnutzung dieser Sicherheitslücke hin. Wider besseren Wissens hat er die in der Dissertation beschriebene Schwachstelle nicht aus seinem Quellcode entfernt. Auf die Anschuldigungen angesprochen beteuert er, dies sei ohne Absicht geschehen.

© Heartbleed.com

© Heartbleed.com

Wie kann ich mich vor Heartbleed schützen?

Betroffen von der Sicherheitslücke sind unter anderem die Benutzernamen und Passwörter, die von Dritten mitgelesen werden können. Für den Fall, dass der Bug noch nicht mit absoluter Sicherheit behoben wurde, muss man beim Ändern der Passwörter befürchten, dass Geheimdienste oder Cyberkriminelle auch die neuen Zugangsdaten auslesen. Cyberkriminelle könnten damit Kreditkarten missbrauchen und die Bankkonten ihrer Opfer ausplündern. Geheimdienste wollen sich offline wie online Zugriff auf alle möglichen Informationen verschaffen, die schlichtweg ihrem (unberechtigtem) Interesse entsprechen.

Was hat die NSA damit zu tun?

Die Nachrichtenagentur Bloomberg berichtete, dass der Heartbleed-Bug praktisch von Beginn an von der NSA ausgenutzt wurde. Die Pressestelle der NSA hingegen behauptet, sie hätten vor April 2014 keine Kenntnis von dieser Schwachstelle gehabt. Wie gesagt: Angriffe unter Ausnutzung von Heartbleed erscheinen für Geheimdienste geradezu ideal, weil beim Knacken der Verschlüsselung keinerlei Spuren hinterlassen werden. Das Dementi des NSA-Direktors erscheint entsprechend wenig glaubhaft.

Tarnkappe.info