11.04.2014, 12:31 Uhr | 0 |

Sicherheitslücke Heartbleed Deutscher Unglücksprogrammierer bezieht Stellung

Ein kleiner Fehler mit großen Auswirkungen versetzt die IT-Welt in Aufruhr: Der Bug Heartbleed in der weit verbreiteten Verschlüsselungs-Software OpenSSL ermöglicht es Hackern, vertrauliche Daten auszuspähen. Verursacht hat den Fehler vor zwei Jahren ein deutscher Programmierer. Der erklärt jetzt, wie es dazu kam. 

Verantwortlich für den Heartbleed Bug ist der deutsche Programmierer Robin S.
Á

Verantwortlich für den Heartbleed Bug ist Robin S. Der deutsche Programmierer hat vor zwei Jahren an OpenSSL mitgearbeitet. Sein Fehler sei keine Absicht und im Grunde recht trivial gewesen.  

Foto: dpa/Oliver Berg

IT-Experten sind alarmiert: Die von einem großen Teil der Internetanwendungen genutzte Verschlüsselung per OpenSSL ist nicht so sicher wie gedacht. Bei einem Update der Software vor gut zwei Jahren hat sich ein Fehler eingeschlichen, der es Hackern ermöglicht, vertrauliche Daten auszuspähen. Betroffen sind Dienste wie Yahoo, Facebook, Google und Dropbox, dazu möglicherweise auch Banken und Kreditinstitute. Millionen von Internetnutzern müssen jetzt ihre Passwörter ändern.

Ein für sich allein betrachtet kleiner Fehler tief in den Programmcodes ist es, der User auf der ganzen Welt verunsichert, Anbieter von großen und kleinen Internetdienstleistungen zum Nachbessern zwingt und Hexenjäger auf den Plan ruft. Tatsächlich ist der Verursacher schnell gefunden. Robin S., so heißt es beim Internetmagazin Spiegel Online, habe den Bug verschuldet. Ein junger deutscher Programmierer, der vor zwei Jahren an OpenSSL mitgearbeitet habe. 

User soziale Netzwerke reichen den Namen Robin S. weiter

Öffentlich werden konnte sein Name wegen des Prinzips, das Open-Source-Software wie OpenSSL eigentlich so sicher machen sollte: Jeder hat Zugriff auf den Code, jeder kann ihn überprüfen – und natürlich kann auch jeder die ebenfalls enthaltenen Namen der Programmierer, die daran mitgearbeitet haben, einsehen. 

Kaum war der Fehler bekannt, geschah genau das – und der volle Name des Unglücksprogrammierers wurde mitsamt Link zum Fehler durch die sozialen Netzwerke gereicht. Wie Spiegel Online berichtet, erstreckte sich die Bandbreite der Reaktionen von vordergründig mitleidigen Äußerungen wie "Ich wäre jetzt nicht gern Robin S." bis hin zu öffentlichen Verdächtigungen, der Mann habe die Lücke absichtlich produziert, um zum Beispiel Geheimdiensten einen Zugang zu geheimen Daten im Internet zu ermöglichen. 

Unglücksprogrammierer bestreitet Absicht

Gegen diese Verdächtigungen wehrt sich der Programmierer jedoch und betont, dass der Bug ein Versehen war. In einer E-Mail an Spiegel Online schreibt er nach Angaben des Magazins: "Ich habe an OpenSSL mitgearbeitet und eine Reihe von Bugfixes und neuen Features eingereicht. In einem Patch für ein neues Feature habe ich offenbar eine Längenprüfung übersehen." Eigentlich sei der Fehler ziemlich trivial, schreibt er, nur in seinem Kontext ermögliche er das Auslesen von eigentlich sicheren Daten, da eben die Länge des zu lesenden Speichers nicht geprüft werde. Das sei es, was ihn so schwerwiegend mache. 

Der Name des Bugs – Heartbleed, übersetzt Herzbluten – ist eine Verballhornung der ursprünglichen Bezeichnung der Funktion, bei der der Fehler aufgetreten ist. Um sicherzustellen, dass beide Rechner, zwischen denen eine verschlüsselte Aktion abläuft, noch online sind, werden regelmäßig spezifische Daten hin- und hergeschickt. Dies wird mit einem Herzschlag, englisch Heartbeat, assoziiert. 

Unter anderem enthält dieses Datenpaket auch sensible Daten, die aber normalerweise verborgen bleiben. Durch die fehlerhafte Längenprüfung können plötzlich nicht nur eine begrenze Menge an harmlosen Daten, sondern deutlich mehr gelesen werden. Unter anderem enthält dieses Datenpaket auch das Passwort, das durch die fehlerhafte Längenprüfung abgefangen werden kann.

Dass mit dieser Funktion etwas nicht stimmt, haben nicht nur der eigentliche Programmierer, sondern auch diejenigen übersehen, die bei OpenSSL Änderungen standardmäßig überprüfen, bevor sie eingepflegt werden.

Google und Sicherheitsfirma brachten Bug ans Licht

Gefunden haben den Fehler eine Sicherheitsfirma und Google bei einer gezielten Überprüfung. Zuvor ist der Bug zwei Jahre lang nicht öffentlich geworden, was aber nicht heißt, dass niemand ihn erkannt hat. Daher ist auch nicht nachvollziehbar, ob, welche und wie viele Daten so gestohlen wurden. User der Dienste, die OpenSSL nutzen, müssen also ihr Passwort ändern. 

Zuerst sind jedoch die Anbieter der betroffenen Dienste dran: Bevor diese das Leck nicht durch ein Patch gestopft haben, liegen auch neu vergebene Passwörter offen. Das ist bei vielen bereits passiert, allerdings noch nicht bei allen. Bis dahin können User nur abwarten und hoffen, dass nichts passiert.  

Anzeige
Von Judith Bexten
Zur StartseiteZur Startseite
schlagworte: 
kommentare

Aktuell wurden noch keine Kommentare zu diesem Artikel abgegeben. Loggen Sie ich ein oder melden Sie sich neu an, wenn Sie noch keine Zugangsdaten haben
> Zum Login     > Neu anmelden