https://www.faz.net/-gsf-7ocu7

Sicherheitslücke „Heartbleed“ : Der Herzfehler

  • -Aktualisiert am

Die Sicherheitslücke „Heartbleed“ führt vor Augen, wie sicher selbst „sichere“ Passwörter sind. Bild: REUTERS

Die Unachtsamkeit einer Silvesternacht: Die Sicherheitslücke „Heartbleed“ ist ein Totalschaden im Internet und zeigt, dass es neue Sicherheitsstandards für das Netz braucht.

          Der Name „Heartbleed“ ist treffend: Der Programmierfehler, der das gesamte Internet aufrüttelt und Software-Updates an der Hälfte aller mit ihm verbundenen Server erforderlich macht, trifft das Internet und mit der Materie vertraute Menschen ins Herz.

          Eigentlich sollte es nur darum gehen, dass sich Computer, die zueinander eine verschlüsselte Verbindung aufgebaut haben, in regelmäßigen Abständen Bescheid geben, dass sie noch da sind. Dafür schicken sie kleine Datenpakete hin und her – wie Herzschläge. Diese Minipakete ließen sich manipulieren, die Server schickten nicht bloß ein Lebenszeichen, sondern ihre Geheimnisse: Passwörter und Zertifikate.

          Das Internet als fragiles Kartenhaus

          Normalsterbliche fragen sich, wie das möglich ist. Die Administratoren solcher Systeme haben aber ganz andere Fragen: „Wenn wir nicht einmal einen Herzschlag einbauen können, wie können wir überhaupt irgendetwas einbauen?“ Das fragt Dan Kaminsky, einer der führenden Experten auf dem Gebiet der Computersicherheit, in seinem Blog.

          Kaminsky beschreibt das Internet als Kartenhaus: Die Open-Source-Gemeinde, die das nun betroffene OpenSSL betreut, arbeitet auf Spendenbasis und zehrt von Idealismus und persönlichem Interesse ihrer Mitglieder. Der „Heartbleed“-Fehler rutschte in der Silvesternacht 2012 ins System, zwei Menschen waren beteiligt, der Autor und der Begutachter, der den Code eine Stunde nach Mitternacht absegnete.

          Nun, schreibt Kaminsky, gehe es darum, „ein völlig neues Modell zur Absicherung kritischer Infrastruktur“ zu finden. Es gehe um Geld und die Arbeitsbedingungen derer, die diese Infrastruktur entwickeln. Argumente dafür liefert auch Micheal Riley, der Bloomberg-Journalist, der behauptet, die NSA habe den Fehler seit langem gekannt und genutzt: Der kleinen Open-Source-Gemeinde stünden Tausende hochbezahlter Experten der Geheimdienste gegenüber. Deren Aufgabe, gerade bei der NSA, sei es, Fehler und Schwächen in der technischen Infrastruktur zu finden. Wie sie mit ihren Erkenntnissen umgehen, darüber sei nun politisch zu diskutieren. Die amerikanische Regierung gesteht ihren Behörden zu, Wissen über Sicherheitslücken zur Wahrung der nationalen Sicherheit geheim zu halten. Das bekräftigte Obama am Wochenende.

          Spuren sind kaum zu finden

          Den Vorwurf, „Heartbleed“ gekannt und der Öffentlichkeit verschwiegen zu haben, streitet die NSA ab. Experten streiten derweil, ob der Fehler vor seinem Bekanntwerden ausgenutzt wurde. Ein Problem ist, dass sich das Ausnutzen von „Heartbleed“ nachträglich kaum beweisen lässt. „Heartbleed“-Attacken sind von normalen Gebrauchsspuren in den Server-Logbüchern kaum zu unterscheiden.

          Zusätzlich ließe sich ohnehin nicht herausfinden, welche Daten durch diese Angriffe entwendet wurden. Die Frage ist auch, ob sich Zertifikate überhaupt auslesen ließen. Mit Hilfe der Zertifikate und komplizierter Mathematik beglaubigen sich Server gegenüber ihren Nutzern. Jeder, der Zugriff auf die Zertifikate erhält, kann die Nutzer täuschen und sich als der eigentliche Server ausgeben.

          Die erste Annahme war, dass sich diese privaten Schlüssel nur kurz nach Betriebsbeginn der Server auslesen ließen, wenn noch wenig mehr als sie im Speicher liegt. Mit Hilfe eines Testservers wollte ein Betreiber großer Serverfarmen, Cloudflare, aufzeigen, dass der Diebstahl der privaten Schlüssel gar nicht möglich sei. Einen Tag später gelang es dem russischen Ingenieur Fedor Indutny, den Schlüssel des Testservers zu veröffentlichen.

          „Heartbleed“ ist ein Totalschaden im Internet. Das Problem sei technisch, seine Ursachen aber seien menschlich, schreibt der renommierte Sicherheitsforscher Bruce Schneier. Es sei katastrophal, unter welchen Bedingungen diese Fehler entstünden, auf welche Weise öffentlich darüber gesprochen werde und dass sich Internettechnologien mit ein paar Zeilen zusätzlichen Codes so einfach als Waffe nutzen ließen.

          Weitere Themen

          Kunstwerk ohne Rechte

          KI-erzeugte Kurzfilme : Kunstwerk ohne Rechte

          Eine Künstliche Intelligenz namens Jan Bot produziert im Eye Filmmuseum jeden Tag mehrere kleine Filme. Das stellt nicht nur Juristen vor die Frage: Wer ist der Autor, wenn Roboter Filme drehen? Eine Diskussion in Frankfurt.

          Hakuna Matata Video-Seite öffnen

          Filmkritik „Der König der Löwen“ : Hakuna Matata

          25 Jahre nach dem Original kommt „Der König der Löwen“ als Neuverfilmung zurück in die Kinos. Die Tricktechnik überwältigt, doch der Spagat zwischen Königsdrama und Tierdoku will nicht so ganz gelingen.

          Topmeldungen

          Umtriebiger Minister: Jens Spahn

          Bundesgesundheitsminister : Jens Spahn demonstriert seine Macht

          Der Gesundheitsminister bringt am Mittwoch drei Gesetzentwürfe ins Kabinett ein – und will auf die Schnelle noch zwei Behörden fusionieren. Der CDU-Politiker demonstriert seine Macht.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.