NSA soll “Heartbleed”-Lücke schon lange ausgenutzt haben

11. April 2014, 21:46

Medienbericht: US-Geheimdienst weiß schon seit “mindestens zwei Jahren” von Verschlüsselungs-Schwachstelle – Weißes Haus dementiert

Der US-Geheimdienst NSA hat die jüngst öffentlich gewordene schwerwiegende Sicherheitslücke im Internet laut Medienbericht seit langem systematisch ausgenutzt. Die Schwachstelle in der Verschlüsselungssoftware OpenSSL sei dem Geheimdienst seit “mindestens zwei Jahren” bekannt gewesen. Das schrieb die Finanznachrichtenagentur Bloomberg am Freitagabend unter Berufung auf zwei informierte Personen. Namen oder Belege veröffentlichte Bloomberg allerdings nicht. Die NSA dementierte umgehendvia Twitter: Man kannte die Lücke nicht, bis sie veröffentlicht wurde.

  • MEHR ZUM THEMA
  • ONLINE:mPAY24 – Die Online-Zahlungslösung

Das US-Präsidialamt versicherte, die Sicherheitslücke nicht für Spionagezwecke ausgenutzt zu haben. Das Weiße Haus, der Geheimdienst NSA und der Nationale Geheimdienstdirektor beteuerten am Freitag, erst seit diesem Monat von der Schwachstelle in der Verschlüsselungssoftware erfahren zu haben. Berichte, US-Dienste hätten seit zwei Jahren von der Schwachstelle gewusst und diese gezielt zum Ausforschen von Passwörtern und anderer Inhalte genutzt, seien falsch.

Praktisch von Beginn an offen

Stimmt die Meldung von Bloomberg, dann würde dies bedeuten, dass die Lücke der NSA praktisch von Beginn an offenstand. Die erst diese Woche öffentlich gewordene Schwachstelle, die auf den Namen “Heartbleed” getauft wurde, sorgt dafür, dass Angreifer die Verschlüsselung aushebeln und die vermeintlich geschützten Daten abgreifen können. Da OpenSSL als Verschlüsselungs-Programm weitverbreitet ist, waren mehrere hunderttausend Websites betroffen. Mit Diensten der Internet-Giganten Yahoo und Google geht es um potenziell Hunderte Millionen Nutzer, die zu möglichen Angriffszielen wurden.

Ein Versehen

Die Lücke geht auf einen deutschen Programmierer zurück, der beteuert, es sei ein ungewolltes Versehen gewesen. Er habe beim Verbessern einer Funktion von OpenSSL schlicht ein Element vergessen. Der deutsche Programmierer studierte damals noch an einer Fachhochschule, inzwischen arbeitet er für T-Systems.

Keine Spuren

Die NSA habe die Schwachstelle kurz nach Auftauchen des fehlerhaften Software-Codes entdeckt, berichtete Bloomberg jetzt. Die Lücke sei dann zu einem Grundelement des “Werkzeugkastens” des Abhör-Dienstes geworden – zum Beispiel, um Passwörter zu stehlen. Angriffe über die Schwachstelle hinterlassen keine Spuren auf dem Server.

Schon nach Auftauchen des Problems war spekuliert worden, der US-Geheimdienst NSA könnte seine Finger im Spiel gehabt haben. Seit Monaten ist bekannt, dass die NSA die Verschlüsselung im Internet massiv ins Visier genommen hatte. Sie forschte aktiv nach Schwachstellen und versuchte auch, Schwachstellen einzuschleusen und Verschlüsselungs-Algorithmen aufzuweichen. Wenn der Geheimdienst die Lücke kannte und nichts dagegen unternahm, hat er damit Hunderte Millionen Nutzer schutzlos gegen mögliche Angriffe von Online-Kriminellen dastehen lassen.

Freie Software

OpenSSL ist ein Open-Source-Projekt, bei dem jeder den Software-Code einsehen und weiterentwickeln kann. Die Änderungen werden dokumentiert, damit konnte auch der Verantwortliche schnell ausfindig gemacht werden.

Die SSL-Verschlüsselung wird von einer Vielzahl von Webseiten, E-Mail-Diensten und Chat-Programmen genutzt. OpenSSL ist einer der Baukästen des Sicherheitsprotokolls. Die Schwachstelle findet sich in einer Funktion, die im Hintergrund läuft. Sie schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Da der deutsche Programmierer eine sogenannte Längenprüfung vergessen hatte, konnten bei eigentlich harmlosen Verbindungs-Abfragen zusätzliche Informationen aus dem Speicher abgerufen werden. Die Funktion heißt “Heartbeat”, Herzschlag. Die Schwachstelle wurde in Anlehnung daran “Heartbleed” genannt. (APA/red, 11.4. 2014)