http://www.faz.net/-gqz-7o9qk
HERAUSGEGEBEN VON WERNER D'INKA, JÜRGEN KAUBE, BERTHOLD KOHLER, HOLGER STELTZNER

Veröffentlicht: 10.04.2014, 15:16 Uhr

„OpenSSL“-Sicherheitslücke Jetzt. Muss. Jeder. Jedes. Passwort. Ändern!

„Heartbleed“ ist ein Fehler, der zwei Jahre unentdeckt blieb und dem jedes Passwort im Internet zum Opfer fallen kann. Nun muss repariert werden. Aber eigentlich brauchen wir neue Standards.

von Felix von Leitner
© heartbleed.com Die Software-Funktion sollte verschlüsselte Verbindungen aufrecht erhalten. Deshalb nannte man sie „Heartbeat“. Der in ihre gefundene gravierende Fehler wurde „Heartbleed“ getauft.

Katastrophen-Alarm im Internet: Ein 27 Monate alter Fehler hat es ermöglicht, dass bei SSL-Verbindungen, wie wir sie täglich beispielsweise beim Homebanking verwenden, der Speicher der Server ausgelesen werden konnte. Betroffen ist „OpenSSL“, also eine der am häufigsten verwendeten Verschlüsselungs-Implementationen, die von einer unüberschaubaren Menge anderer Software verwendet wird. Gemeint ist damit: Mehr als die Hälfte der Webserver auf der Welt verwenden OpenSSL, Banken, Online-Shops, aber auch im Hintergrund ablaufende automatisierte Prozesse, beispielsweise für Software-Updates.

Der entdeckte und „Heartbleed“ getaufte Fehler ist nicht nur weit verbreitet, sondern auch besonders gefährlich. Er ermöglicht Angreifern, in kleinen Teilen die Arbeitsspeicher der Server auszulesen. In diesen Speichern liegt allerhand. Unter anderem zur Verschlüsselung notwendige Schlüssel, entschlüsselte Dateien und Passwörter. Im Regelfall wird SSL dafür benutzt, Username- und Passwort-Anmeldungen durch Verschlüsselung vor Mitlesern zu schützen. Durch den Fehler in OpenSSL konnte man jetzt die Usernamen und Passwörter der Nutzer einsehen. Schlimmer noch: Man muss davon ausgehen, dass Angreifer auch die geheimen Schlüssel des SSL-Servers sehen konnten. Wer diese hat, kann sich anderen gegenüber als diese Server ausgeben – genau das sollte SSL eigentlich verhindern.

Die Server gaben alle Geheimnisse preis

Gravierend an dem Fehler ist, dass wir nachträglich nicht sehen können, welche Daten unsere Systeme tatsächlich verlassen haben. Wir müssen davon ausgehen, dass wir alle verlierbaren Daten auch tatsächlich verloren haben. Das heißt, alle betroffenen Websites müssen ihre alten Schlüssel für ungültig erklären und neue beantragen. Der einzelne Nutzer bemerkt eine solche Umstellung eigentlich nicht. Da neben den Serverzertifikaten allerdings jedes einzelne Passwort betroffen sein kann, müsste nun eigentlich jeder Nutzer seine Passwörter ersetzen. Und da viele Nutzer dasselbe Passwort bei verschiedenen Websites verwenden, müssten alle, auch die nicht direkt betroffenen Passwörter geändert werden.

Als wäre das alles nicht schon apokalyptisch genug, muss man unter anderem davon ausgehen, dass es Angreifern möglich war, mit ausgelesenen Server-Schlüsseln Opfern gefälschte Software-Updates aufzuspielen. Glücklicherweise sichern einige Hersteller ihre Software-Updates über separate Signaturen. Unglücklicherweise sichern viele Hersteller ihre Software-Updates ohnehin nicht. Durch den SSL-Totalschaden sind nur deren Kunden als einzige nicht unsicherer dran als vorher.

In Zeiten des Spähskandals liegt bei einem solchen Vorkommnis die Frage nahe, ob es sich um eine von den Geheimdiensten herbeigeführte Sabotage-Aktion handelt. Wir wissen, dass GCHQ und NSA schwindelerregende Budgets für derartige Projekte haben. Verschlüsselungsstandards weltweit zu schwächen und Opfern Wanzen und Hintertüren unterzuschieben ist das Programm. In diesem Fall kam der Code mit dem Fehler von einem noch keine dreißig Jahre alten Studenten aus Deutschland. Er wurde später von der Telekom-Tochter T-Systems beschäftigt. Dass das Unternehmen mit dem BND technisch zusammenarbeitet, zeigt mindestens ein vor fünf Jahren von Wikileaks veröffentlichtes Dokument.

Fehler oder Hintertür?

Stand der Technik beim Einbau von Hintertüren in Software ist, dass man späteres „plausibles Abstreiten“ ermöglicht. Dafür sollte eine Hintertür wie ein Fehler aussehen. Sicher kann man daher anhand des Codes nicht entscheiden, ob es sich um eine Hintertür oder schlicht einen Fehler handelt. Sagen lässt sich allerdings, dass dieser Fehler die Kriterien für eine nützliche Hintertür erfüllt.

Wichtiger als die Schuldfrage ist, dass derartige Probleme in Zukunft durch geeignete Qualitätssicherungsmaßnahmen verhindert werden. Der Fall sollte allen die Augen öffnen, weil seine Fehlerkategorie nach in der Industrie üblichen Standards als besonders gering gilt. Hier ist also eine Überarbeitung des technischen Standards selbst nötig.

Mehr zum Thema

OpenSSL ist ein Open-Source-Projekt, es verfügt dadurch nicht über die Droh- und Lockmittel eines kommerziellen Softwarehauses, keiner der Entwickler wird bezahlt, niemandem könnte mit Kündigung gedroht werden. Dennoch hat OpenSSL vergleichsweise hohe Qualitätssicherungsstandards. Auch der Code mit diesem Fehler musste erst durch eine Begutachtung, durch die er offenbar durchgewunken wurde.

Wir werden uns mit der Frage beschäftigen müssen, wie wir verhindern, dass ein Code mit solchen Lücken überhaupt geschrieben wird. Und wenn er geschrieben wurde, gilt es zu verhindern, dass er an so wichtiger Stelle in ein so zentrales Projekt einfließen kann. Wir werden sicherstellen müssen, dass solche Probleme früher erkannt werden. Dieser Fehler wurde von Google bei einer gezielten Sicherheitsüberprüfung entdeckt. Es muss aber auch ohne Google gelingen.

Felix von Leitner ist IT-Sicherheitsberater. Privat betreibt er das vielgelesene Blog blog.fefe.de.

Quelle: F.A.Z.

 

Hier können Sie die Rechte an diesem Artikel erwerben

Weitere Empfehlungen
Neues System Verschlüsselte Mails für alle

Das Fraunhofer-Insitut will zusammen mit der Deutschen Telekom eine flächendeckende Verschlüsselung von E-Mails ermöglichen. Es gibt allerdings einige Einschränkungen. Mehr Von Jonas Jansen

29.06.2016, 07:05 Uhr | Wirtschaft
Psychisch kranker Täter Großbritannien unter Schock nach Mord an Jo Cox

Nach dem Mord an der Labour-Abgeordneten Jo Cox wenige Tage vor dem EU-Referendum in Großbritannien rätselt das Land über das Motiv des Angreifers. Der mutmaßliche Täter soll psychisch krank sein und Sympathien für Neonazis hegen. Beide politischen Lager legten indes ihre Kampagnen zum EU-Referendum auf Eis. Mehr

18.06.2016, 11:10 Uhr | Politik
Spurensuche im Internet So fahndet der Geheimdienst NSA nach Programmierern

Wer hat es geschrieben? Die amerikanische National Security Agency (NSA) betreibt Spurensuche in Text und Code und will damit anonymen Programmierern auf die Schliche kommen – kein einfaches Vorhaben. Mehr Von Peter Welchering

21.06.2016, 15:47 Uhr | Technik-Motor
Israel Tote und Verletzte bei Anschlag in Tel Aviv

Bei einem Anschlag in der israelischen Großstadt Tel Aviv sind vier Menschen erschossen worden, mehrere wurden verletzt. Die zwei Angreifer sollen in der Nähe des Verteidigungsministeriums wahllos auf Passanten geschossen haben. Mehr

09.06.2016, 14:32 Uhr | Politik
Aussitzen des Brexits Camerons größter Coup?

David Cameron will den Austrittsprozess nach der Brexit-Entscheidung seinem Nachfolger überlassen. Ein cleverer Schachzug, mit dem die Briten Zeit gewinnen – und am Ende vielleicht doch in der EU bleiben. Ein Gastbeitrag. Mehr Von Ralph Rotte

26.06.2016, 14:50 Uhr | Politik
Glosse

Frommes Endspiel

Von Jürg Altwegg

Es darf gejohlt, geschrien und gesoffen werden: Der Pfarrer Jean-François Ramelet will das EM-Endspiel aus Paris in die Kathedrale Saint-François in Lausanne übertragen. Mehr 1

Abonnieren Sie den Newsletter „Literatur“