https://www.faz.net/-gsf-7ocu7

Sicherheitslücke „Heartbleed“ : Der Herzfehler

  • -Aktualisiert am

Die Sicherheitslücke „Heartbleed“ führt vor Augen, wie sicher selbst „sichere“ Passwörter sind. Bild: REUTERS

Die Unachtsamkeit einer Silvesternacht: Die Sicherheitslücke „Heartbleed“ ist ein Totalschaden im Internet und zeigt, dass es neue Sicherheitsstandards für das Netz braucht.

          Der Name „Heartbleed“ ist treffend: Der Programmierfehler, der das gesamte Internet aufrüttelt und Software-Updates an der Hälfte aller mit ihm verbundenen Server erforderlich macht, trifft das Internet und mit der Materie vertraute Menschen ins Herz.

          Eigentlich sollte es nur darum gehen, dass sich Computer, die zueinander eine verschlüsselte Verbindung aufgebaut haben, in regelmäßigen Abständen Bescheid geben, dass sie noch da sind. Dafür schicken sie kleine Datenpakete hin und her – wie Herzschläge. Diese Minipakete ließen sich manipulieren, die Server schickten nicht bloß ein Lebenszeichen, sondern ihre Geheimnisse: Passwörter und Zertifikate.

          Das Internet als fragiles Kartenhaus

          Normalsterbliche fragen sich, wie das möglich ist. Die Administratoren solcher Systeme haben aber ganz andere Fragen: „Wenn wir nicht einmal einen Herzschlag einbauen können, wie können wir überhaupt irgendetwas einbauen?“ Das fragt Dan Kaminsky, einer der führenden Experten auf dem Gebiet der Computersicherheit, in seinem Blog.

          Kaminsky beschreibt das Internet als Kartenhaus: Die Open-Source-Gemeinde, die das nun betroffene OpenSSL betreut, arbeitet auf Spendenbasis und zehrt von Idealismus und persönlichem Interesse ihrer Mitglieder. Der „Heartbleed“-Fehler rutschte in der Silvesternacht 2012 ins System, zwei Menschen waren beteiligt, der Autor und der Begutachter, der den Code eine Stunde nach Mitternacht absegnete.

          Nun, schreibt Kaminsky, gehe es darum, „ein völlig neues Modell zur Absicherung kritischer Infrastruktur“ zu finden. Es gehe um Geld und die Arbeitsbedingungen derer, die diese Infrastruktur entwickeln. Argumente dafür liefert auch Micheal Riley, der Bloomberg-Journalist, der behauptet, die NSA habe den Fehler seit langem gekannt und genutzt: Der kleinen Open-Source-Gemeinde stünden Tausende hochbezahlter Experten der Geheimdienste gegenüber. Deren Aufgabe, gerade bei der NSA, sei es, Fehler und Schwächen in der technischen Infrastruktur zu finden. Wie sie mit ihren Erkenntnissen umgehen, darüber sei nun politisch zu diskutieren. Die amerikanische Regierung gesteht ihren Behörden zu, Wissen über Sicherheitslücken zur Wahrung der nationalen Sicherheit geheim zu halten. Das bekräftigte Obama am Wochenende.

          Spuren sind kaum zu finden

          Den Vorwurf, „Heartbleed“ gekannt und der Öffentlichkeit verschwiegen zu haben, streitet die NSA ab. Experten streiten derweil, ob der Fehler vor seinem Bekanntwerden ausgenutzt wurde. Ein Problem ist, dass sich das Ausnutzen von „Heartbleed“ nachträglich kaum beweisen lässt. „Heartbleed“-Attacken sind von normalen Gebrauchsspuren in den Server-Logbüchern kaum zu unterscheiden.

          Zusätzlich ließe sich ohnehin nicht herausfinden, welche Daten durch diese Angriffe entwendet wurden. Die Frage ist auch, ob sich Zertifikate überhaupt auslesen ließen. Mit Hilfe der Zertifikate und komplizierter Mathematik beglaubigen sich Server gegenüber ihren Nutzern. Jeder, der Zugriff auf die Zertifikate erhält, kann die Nutzer täuschen und sich als der eigentliche Server ausgeben.

          Die erste Annahme war, dass sich diese privaten Schlüssel nur kurz nach Betriebsbeginn der Server auslesen ließen, wenn noch wenig mehr als sie im Speicher liegt. Mit Hilfe eines Testservers wollte ein Betreiber großer Serverfarmen, Cloudflare, aufzeigen, dass der Diebstahl der privaten Schlüssel gar nicht möglich sei. Einen Tag später gelang es dem russischen Ingenieur Fedor Indutny, den Schlüssel des Testservers zu veröffentlichen.

          „Heartbleed“ ist ein Totalschaden im Internet. Das Problem sei technisch, seine Ursachen aber seien menschlich, schreibt der renommierte Sicherheitsforscher Bruce Schneier. Es sei katastrophal, unter welchen Bedingungen diese Fehler entstünden, auf welche Weise öffentlich darüber gesprochen werde und dass sich Internettechnologien mit ein paar Zeilen zusätzlichen Codes so einfach als Waffe nutzen ließen.

          Weitere Themen

          „It Must Be Heaven“ Video-Seite öffnen

          Trailer : „It Must Be Heaven“

          „It Must Be Heaven“ ist eine französisch-kanadische Komödie aus dem Jahr 2019 von Elia Suleiman. Der Film kämpft in Cannes um die Goldene Palme.

          „All my Loving“ Video-Seite öffnen

          Trailer : „All my Loving“

          „All my Loving“ ist der neue Film von Edward Berger und zeigt drei Geschwister, die an einem Punkt angelangt sind, an dem sie schnell etwas verändern müssen, bevor die zweite Hälfte ihres Lebens beginnt.

          Topmeldungen

          Boris Johnson im Januar während einer Rede in Dublin

          Sorgen in der Wirtschaft : Zittern vor Boris Johnson

          Der Hardliner ist in Großbritannien der Favorit für die Nachfolge von Theresa May. Das lässt Unternehmen bangen: Er strebt einen No-Deal-Brexit an – ohne Rücksicht auf Verluste.
          „Seit über 25 Jahren packen wir einmal im Jahr das gesamte Spielzeug für acht Wochen in den Keller“, berichtet Kita-Leiterin Elfriede Reissmüller, „und die Kinder werden aufgefordert, ihre Phantasie und Kreativität verstärkt einzusetzen.“

          Kita ohne Spielzeug : Weg mit den Bauklötzen!

          Eine Kita ohne Spielzeug – klingt widersinnig. Tatsächlich aber kann die fehlende Ablenkung Wunder wirken und wichtige Fähigkeiten für das spätere Leben ausbilden.
          Ende Oktober 2018 steht Damian Boeselager, einer der Gründer der proeuropäischen Partei Volt, in Amsterdam bei einer Kundgebung auf der Bühne

          Kleinpartei vor Europawahl : Viel ge-Volt

          Große Versprechen, großer Idealismus: Volt ist proeuropäisch und tritt in acht Ländern zur Europawahl an. Wer ist die Kleinpartei, die es erreichte, dass der „Wahl-O-Mat“ kurzzeitig offline ging?

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.