Der Name „Heartbleed“ ist treffend: Der Programmierfehler, der das gesamte Internet aufrüttelt und Software-Updates an der Hälfte aller mit ihm verbundenen Server erforderlich macht, trifft das Internet und mit der Materie vertraute Menschen ins Herz.

Eigentlich sollte es nur darum gehen, dass sich Computer, die zueinander eine verschlüsselte Verbindung aufgebaut haben, in regelmäßigen Abständen Bescheid geben, dass sie noch da sind. Dafür schicken sie kleine Datenpakete hin und her – wie Herzschläge. Diese Minipakete ließen sich manipulieren, die Server schickten nicht bloß ein Lebenszeichen, sondern ihre Geheimnisse: Passwörter und Zertifikate.

Das Internet als fragiles Kartenhaus

Normalsterbliche fragen sich, wie das möglich ist. Die Administratoren solcher Systeme haben aber ganz andere Fragen: „Wenn wir nicht einmal einen Herzschlag einbauen können, wie können wir überhaupt irgendetwas einbauen?“ Das fragt Dan Kaminsky, einer der führenden Experten auf dem Gebiet der Computersicherheit, in seinem Blog.

Kaminsky beschreibt das Internet als Kartenhaus: Die Open-Source-Gemeinde, die das nun betroffene OpenSSL betreut, arbeitet auf Spendenbasis und zehrt von Idealismus und persönlichem Interesse ihrer Mitglieder. Der „Heartbleed“-Fehler rutschte in der Silvesternacht 2012 ins System, zwei Menschen waren beteiligt, der Autor und der Begutachter, der den Code eine Stunde nach Mitternacht absegnete.

Nun, schreibt Kaminsky, gehe es darum, „ein völlig neues Modell zur Absicherung kritischer Infrastruktur“ zu finden. Es gehe um Geld und die Arbeitsbedingungen derer, die diese Infrastruktur entwickeln. Argumente dafür liefert auch Micheal Riley, der Bloomberg-Journalist, der behauptet, die NSA habe den Fehler seit langem gekannt und genutzt: Der kleinen Open-Source-Gemeinde stünden Tausende hochbezahlter Experten der Geheimdienste gegenüber. Deren Aufgabe, gerade bei der NSA, sei es, Fehler und Schwächen in der technischen Infrastruktur zu finden. Wie sie mit ihren Erkenntnissen umgehen, darüber sei nun politisch zu diskutieren. Die amerikanische Regierung gesteht ihren Behörden zu, Wissen über Sicherheitslücken zur Wahrung der nationalen Sicherheit geheim zu halten. Das bekräftigte Obama am Wochenende.

Spuren sind kaum zu finden

Den Vorwurf, „Heartbleed“ gekannt und der Öffentlichkeit verschwiegen zu haben, streitet die NSA ab. Experten streiten derweil, ob der Fehler vor seinem Bekanntwerden ausgenutzt wurde. Ein Problem ist, dass sich das Ausnutzen von „Heartbleed“ nachträglich kaum beweisen lässt. „Heartbleed“-Attacken sind von normalen Gebrauchsspuren in den Server-Logbüchern kaum zu unterscheiden.

Zusätzlich ließe sich ohnehin nicht herausfinden, welche Daten durch diese Angriffe entwendet wurden. Die Frage ist auch, ob sich Zertifikate überhaupt auslesen ließen. Mit Hilfe der Zertifikate und komplizierter Mathematik beglaubigen sich Server gegenüber ihren Nutzern. Jeder, der Zugriff auf die Zertifikate erhält, kann die Nutzer täuschen und sich als der eigentliche Server ausgeben.

Die erste Annahme war, dass sich diese privaten Schlüssel nur kurz nach Betriebsbeginn der Server auslesen ließen, wenn noch wenig mehr als sie im Speicher liegt. Mit Hilfe eines Testservers wollte ein Betreiber großer Serverfarmen, Cloudflare, aufzeigen, dass der Diebstahl der privaten Schlüssel gar nicht möglich sei. Einen Tag später gelang es dem russischen Ingenieur Fedor Indutny, den Schlüssel des Testservers zu veröffentlichen.

„Heartbleed“ ist ein Totalschaden im Internet. Das Problem sei technisch, seine Ursachen aber seien menschlich, schreibt der renommierte Sicherheitsforscher Bruce Schneier. Es sei katastrophal, unter welchen Bedingungen diese Fehler entstünden, auf welche Weise öffentlich darüber gesprochen werde und dass sich Internettechnologien mit ein paar Zeilen zusätzlichen Codes so einfach als Waffe nutzen ließen.