„Heartbleed“-GAU stellt Sicherheit des Internets in Frage
Berlin (dpa) - Es war ein Patzer mit einer großen Wirkung: Eine Lücke in der Verschlüsselungssoftware OpenSSL machte hunderte Millionen Web-Nutzer zum potenziellen Angriffsziel. Keiner weiß, wie viele solcher Fehler noch in Millionen Zeilen Software-Code schlummern.
Die wohl gravierendste Sicherheitslücke in der Geschichte des Internets blieb über zwei Jahre lang unentdeckt, obwohl der Programmiercode für jedermann zugänglich war. Die Verschlüsselungs-Software OpenSSL, in der die fehlerhafte Programmzeile steckte, ist ein sogenanntes Open-Source-Projekt. Das heißt, jeder kann den Programm-Code einsehen und weiterentwickeln. Diese Offenheit sorge für mehr Sicherheit, betonen Verfechter der Open-Source-Bewegung. Nichts geschehe im Verborgenen. Doch am Ende war es nicht die OpenSSL-Community, die den Fehler bemerkte, sondern Mitarbeiter von Google und einer finnischen IT-Sicherheitsfirma.
„Der Fehler an sich ist ziemlich trivial“, schrieb der deutsche Programmierer, dem das verheerende Missgeschick unterlief, in einer E-Mail an „Spiegel Online“. Er hatte an einer Stelle eine sogenannte Längenprüfung vergessen. Damit konnten bei eigentlich harmlosen Verbindungs-Anfragen zusätzliche Informationen aus dem Speicher abgerufen werden. Darunter auch Passwörter und der Schlüssel, mit dem alle gesicherten Daten offen sichtbar werden. Das Entwicklungs-Verfahren bei OpenSSL sieht zwar die Prüfung von Ergänzungen vor, doch auch der Kontrolleur muss den Fehler übersehen haben.
„Heartbeat“ - Herzschlag - heißt die betroffene Funktion, die im Grunde nur prüfen soll, ob die Verbindung zwischen dem Server hinter einer Webseite und einem Nutzer noch steht. Die Experten der finnischen Firma Codenomicon tauften die Lücke entsprechend auf den Namen „Heartbleed“, denn dieses Herz blutet.
Das Verhältnis von einem kleinen Fehler und seinen welterschütternden Konsequenzen ist faszinierend. Eine falsche Zeile traf hunderttausende Websites und allein schon mit betroffenen Diensten von Internet-Giganten wie Google und Yahoo potenziell hunderte Millionen Nutzer. Zudem schaffte es der Software-Bug auch noch in Netzwerk-Technik der Ausrüster Cisco und Juniper, über die ein Großteil des weltweiten Datenverkehrs läuft. Das besonders perfide dabei: Ein „Heartbleed“-Angriff hinterlasse keine Spuren, warnte Codenomicon. Rein theoretisch könnten also böswillige Hacker oder Geheimdienste wie die NSA seit langem alle möglichen vermeintlich mit Verschlüsselung geschützten Daten mitgelesen haben.
Der NSA-Skandal hat die Wahrnehmung solcher Fehler verändert. „Der Punkt an der Sache ist, dass wir ab jetzt IMMER davon ausgehen müssen, dass irgendwelche Bugs auch eine Backdoor sein könnten“, schrieb der deutsche Blogger und Schwachstellen-Jäger Felix von Leitner. „Wir werden uns mit der Frage beschäftigen müssen, wie wir verhindern, dass ein Code mit solchen Lücken überhaupt geschrieben wird.“ OpenSSL habe dabei als Open-Source-Projekt nicht die Droh- und Lockmittel eines Unternehmens, gab er zu bedenken: „Keiner der Entwickler wird bezahlt, niemandem könnte mit Kündigung gedroht werden.“
Der amerikanische Technologie-Kolumnist Dan Gillmor forderte die Internet-Nutzer auf, Projekte wie OpenSSL finanziell zu unterstützen. Trotz des gravierenden Fehlers seien die Entwickler Helden, die unentgeltlich an einer offen zugänglichen Software gearbeitet hätten, die das Internet sicherer gemacht habe. Trotz aktueller Panikmache wäre es ein Fehler, die Absicherung der Kommunikation profitorientierten Unternehmen zu überlassen. „Je mehr Augen auf offenen Programmcode gerichtet sind, desto wahrscheinlicher ist es, dass jemand einen Bug findet“, betonte Gillmor beim „Guardian“.
Zugleich wies der amerikanischen Programmierer Rusty Foster darauf hin, dass der Fehler auch auf die betagte Basis von OpenSSL mit der Programmiersprache C zurückgehe, die noch in den 60er Jahren ihren Anfang nahm. „Keine moderne Sprache würde ein solches Leck im Speicher zulassen, weil neuere Sprachen den Speichereinsatz automatisch managen“, schrieb er beim „New Yorker“.
Doch Fehler passieren auch bei kommerziellen Top-Adressen der Branche, die nach dem letzten Stand der Technik ausgerüstet sein müssen. Erst im Februar war Apple wegen eines ähnlichen Problems in die Kritik geraten. Die Umsetzung der SSL-Verschlüsselung für hauseigene Software auf iPhones, iPads und Mac-Computer enthielt mehrere fehlerhafte Code-Zeilen, die ebenfalls den Schutz aushebeln konnten. Auch dort war es der Fehler eines einzelnen Entwicklers, der unbemerkt geblieben war. Die bange Frage ist nun, wie viele solcher Schwachstellen noch unerkannt in den Millionen Software-Zeilen stecken, die das Internet am laufen halten.