https://www.faz.net/-gsf-7obqf

Neue Vorwürfe gegen NSA : Der ungeheure „Heartbleed“-Verdacht

  • -Aktualisiert am

Beinahe von Anfang an könnte die NSA den Heartbleed-Bug genutzt haben, um verschlüsselte Informationen abzufangen. Bild: dpa

Der amerikanische Geheimdienst soll die Schwachstelle in der Verschlüsselungssoftware OpenSSL laut einem Medienbericht seit Jahren systematisch ausgenutzt haben. Die NSA weist die Vorwürfe zurück.

          2 Min.

          Seit Januar 2012 klaffte die Sicherheitslücke „Heartbleed“ in der Verschlüsselungssoftware „OpenSSL“. Mindestens seit April 2012 soll die NSA davon gewusst haben. Statt die Sicherheitslücke als Problem anzusehen und es zu lösen, nutzte der Geheimdienst allerdings die sich  bietenden Chancen, um sicherheitsrelevante Daten von rund der Hälfte aller Server im Internet abzuziehen. Dieser Vorwurf steckt in einem am Freitag veröffentlichten Bericht der Nachrichtenagentur Bloomberg, der sich auf die Aussagen von zwei mit der Materie vertrauten Personen bezieht.

          Die NSA hat in einer ersten Reaktion per Twitter den Vorwürfen widersprochen. Auch das Weiße Haus und der Nationale Geheimdienstdirektor beteuerten, erst seit diesem Monat von der Schwachstelle in der Verschlüsselungssoftware erfahren zu haben. Die Agentur Bloomberg blieb bei ihrer Darstellung.

          Technisch ähnelt das Vorgehen, zu dem die NSA in der Lage gewesen sein soll, dem Fischen. Die Agenten warfen Angeln aus und zogen bei jedem Versuch ein bis zu 64 Kilobyte großes Datenpaket an Land. Was es beinhaltete, konnte zuvor nicht festgelegt werden. Doch es stammte aus dem Arbeitsspeicher der Server, könnte potentiell Passwörter, entschlüsselte Dateien und sogar Sicherheitszertifikate beinhalten. Weder in der Anzahl noch in der Frequenz der Auswürfe ihrer Köder waren den Agenten Grenzen gesetzt. Erst der Google-Ingenieur Neel Mehta setzte dem Treiben ein Ende, als er am Montag die Verwundbarkeit der Server entdeckte und das Schließen der Sicherheitslücke ermöglichte.

          Da OpenSSL als Verschlüsselungs-Programm weit verbreitet ist, waren mehrere hunderttausend Websites von der Sicherheitslücke betroffen. Mit Diensten der Internet-Giganten Yahoo und Google geht es um potentiell Hunderte Millionen Nutzer, die zu möglichen Angriffszielen wurden. Auch deutsche Websites waren davon betroffen.

          Eine von vielen digitalen Waffen

          Bereits in den vergangenen Tagen wurde darüber diskutiert, ob hinter dem technischen Problem nicht tatsächlich ein soziales stecke. Die für die Sicherheit im Internet so relevante Software würde tatsächlich von einer kleinen Gruppe schlecht bezahlter Forscher entwickelt, die aus Idealismus und persönlichem Interesse daran arbeite, heißt es nun auch im Bericht von Bloomberg. Diesen Personen stünden mindestens 1000 gut ausgebildete und gut finanzierte Experten in der NSA gegenüber. Das nun als „Heartbleed“ bekannte Softwareproblem sei für die Agenten eine von vielen digitalen Waffen, die von dem Geheimdienst aufgespürt, aufbereitet und genutzt würden.

          Die NSA behalte ihr Wissen über diese und „tausende“ vergleichbare Sicherheitsprobleme aus strategischen Gründen geheim, heißt es. Dieses Handeln, aus Agentensicht im Sinne der nationalen Sicherheit, setze dabei die Sicherheit der Bevölkerung bewusst großen Gefahren aus, heißt es weiter. Denn auch die Agenten der NSA wissen nicht, welche anderen Akteure und Organisationen über dieses Wissen verfügen und wie es eingesetzt wird.

          Der Bloomberg-Bericht wird durch ein interessantes Indiz untermauert. In keinem der bisher veröffentlichten Dokumente aus dem Fundus Edward Snowdens scheint die Transportverschlüsselung im Internet für die Geheimdienstarbeit eine besondere Hürde darzustellen. In einer Folie wird explizit davon gesprochen, dass es unerheblich sei, ob Verbindungen im Internet verschlüsselt seien oder nicht – sofern nicht Ende-zu-Ende-Verschlüsselung wie beispielsweise PGP verwendet wird. Auch auf Rückfragen hat Edward Snowden stets betont, dass zwar die Verschlüsselungsmathematik auch für die NSA unüberwindbar sei. Dem stehe allerdings gegenüber, dass die Verschlüsselung technisch zu häufig unsicher verbaut sei.

          Die Führung der NSA hat in den vergangenen Monaten wiederholt betont, dass sie ihre Arbeit als Dienst für die nationale Sicherheit sieht. Ihr Mandat, Kommunikation zu schützen und an Technologien zu forschen, die die Sicherheit in Kommunikationsnetzen verbessern, habe sie nun allerdings nicht erfüllt, lauten erste Kritiken. Sie habe stattdessen, sollten sich die Vorwürfe erhärten, das genaue Gegenteil getan.

          Weitere Themen

          Mehr Taumelraum

          Neue „West Side Story“ im Kino : Mehr Taumelraum

          Die „West Side Story“ von 1961 gehört zu den Gipfelwerken des Musicalkinos. Steven Spielberg riskiert jetzt eine ebenso behutsam wie intelligent aktualisierte Neuversion.

          Nobelpreise für Physik und Chemie verliehen Video-Seite öffnen

          Berlin : Nobelpreise für Physik und Chemie verliehen

          Bereits im Oktober war es verkündet worden, nun verlieh der schwedische Botschafter in Berlin die Preise in Physik und Chemie an die zwei Forscher aus Deutschland.

          Topmeldungen

          2-G-Plus als Lackmustest für Impfwillige: Weil auch Immunität nicht in jedem Fall verhindern kann, dass Geimpfte andere anstecken, ist das Testen alles andere als   sinnlos.
              
               Foto 
              EPA

          Omikron-Ausbreitung : Die Pflichten der Geimpften

          Die evolutionären Reserven des Coronavirus sind lange unterschätzt worden. Nun macht es die Ausbreitung von Omikron nötig, das Impfmangement anzupassen.
          Mitte November: Flüchtlinge campieren im Wald nahe des belarussischen Orts Brusgi, an der Grenze zu Polen.

          Facebook und Flüchtlingskrise : Marktplatz für Menschenschmuggel

          Bei Facebook werben Schlepper Menschen aus dem Nahen Osten für die Reise nach Deutschland an. Was tut der Konzern dagegen? Fast nichts. Was sollte die EU tun? Ein Gespräch mit der Sicherheitsanalystin Monika Richter.