https://www.faz.net/-gsf-7obqf

Neue Vorwürfe gegen NSA : Der ungeheure „Heartbleed“-Verdacht

  • -Aktualisiert am

Beinahe von Anfang an könnte die NSA den Heartbleed-Bug genutzt haben, um verschlüsselte Informationen abzufangen. Bild: dpa

Der amerikanische Geheimdienst soll die Schwachstelle in der Verschlüsselungssoftware OpenSSL laut einem Medienbericht seit Jahren systematisch ausgenutzt haben. Die NSA weist die Vorwürfe zurück.

          Seit Januar 2012 klaffte die Sicherheitslücke „Heartbleed“ in der Verschlüsselungssoftware „OpenSSL“. Mindestens seit April 2012 soll die NSA davon gewusst haben. Statt die Sicherheitslücke als Problem anzusehen und es zu lösen, nutzte der Geheimdienst allerdings die sich  bietenden Chancen, um sicherheitsrelevante Daten von rund der Hälfte aller Server im Internet abzuziehen. Dieser Vorwurf steckt in einem am Freitag veröffentlichten Bericht der Nachrichtenagentur Bloomberg, der sich auf die Aussagen von zwei mit der Materie vertrauten Personen bezieht.

          Die NSA hat in einer ersten Reaktion per Twitter den Vorwürfen widersprochen. Auch das Weiße Haus und der Nationale Geheimdienstdirektor beteuerten, erst seit diesem Monat von der Schwachstelle in der Verschlüsselungssoftware erfahren zu haben. Die Agentur Bloomberg blieb bei ihrer Darstellung.

          Technisch ähnelt das Vorgehen, zu dem die NSA in der Lage gewesen sein soll, dem Fischen. Die Agenten warfen Angeln aus und zogen bei jedem Versuch ein bis zu 64 Kilobyte großes Datenpaket an Land. Was es beinhaltete, konnte zuvor nicht festgelegt werden. Doch es stammte aus dem Arbeitsspeicher der Server, könnte potentiell Passwörter, entschlüsselte Dateien und sogar Sicherheitszertifikate beinhalten. Weder in der Anzahl noch in der Frequenz der Auswürfe ihrer Köder waren den Agenten Grenzen gesetzt. Erst der Google-Ingenieur Neel Mehta setzte dem Treiben ein Ende, als er am Montag die Verwundbarkeit der Server entdeckte und das Schließen der Sicherheitslücke ermöglichte.

          Da OpenSSL als Verschlüsselungs-Programm weit verbreitet ist, waren mehrere hunderttausend Websites von der Sicherheitslücke betroffen. Mit Diensten der Internet-Giganten Yahoo und Google geht es um potentiell Hunderte Millionen Nutzer, die zu möglichen Angriffszielen wurden. Auch deutsche Websites waren davon betroffen.

          Eine von vielen digitalen Waffen

          Bereits in den vergangenen Tagen wurde darüber diskutiert, ob hinter dem technischen Problem nicht tatsächlich ein soziales stecke. Die für die Sicherheit im Internet so relevante Software würde tatsächlich von einer kleinen Gruppe schlecht bezahlter Forscher entwickelt, die aus Idealismus und persönlichem Interesse daran arbeite, heißt es nun auch im Bericht von Bloomberg. Diesen Personen stünden mindestens 1000 gut ausgebildete und gut finanzierte Experten in der NSA gegenüber. Das nun als „Heartbleed“ bekannte Softwareproblem sei für die Agenten eine von vielen digitalen Waffen, die von dem Geheimdienst aufgespürt, aufbereitet und genutzt würden.

          Die NSA behalte ihr Wissen über diese und „tausende“ vergleichbare Sicherheitsprobleme aus strategischen Gründen geheim, heißt es. Dieses Handeln, aus Agentensicht im Sinne der nationalen Sicherheit, setze dabei die Sicherheit der Bevölkerung bewusst großen Gefahren aus, heißt es weiter. Denn auch die Agenten der NSA wissen nicht, welche anderen Akteure und Organisationen über dieses Wissen verfügen und wie es eingesetzt wird.

          Der Bloomberg-Bericht wird durch ein interessantes Indiz untermauert. In keinem der bisher veröffentlichten Dokumente aus dem Fundus Edward Snowdens scheint die Transportverschlüsselung im Internet für die Geheimdienstarbeit eine besondere Hürde darzustellen. In einer Folie wird explizit davon gesprochen, dass es unerheblich sei, ob Verbindungen im Internet verschlüsselt seien oder nicht – sofern nicht Ende-zu-Ende-Verschlüsselung wie beispielsweise PGP verwendet wird. Auch auf Rückfragen hat Edward Snowden stets betont, dass zwar die Verschlüsselungsmathematik auch für die NSA unüberwindbar sei. Dem stehe allerdings gegenüber, dass die Verschlüsselung technisch zu häufig unsicher verbaut sei.

          Die Führung der NSA hat in den vergangenen Monaten wiederholt betont, dass sie ihre Arbeit als Dienst für die nationale Sicherheit sieht. Ihr Mandat, Kommunikation zu schützen und an Technologien zu forschen, die die Sicherheit in Kommunikationsnetzen verbessern, habe sie nun allerdings nicht erfüllt, lauten erste Kritiken. Sie habe stattdessen, sollten sich die Vorwürfe erhärten, das genaue Gegenteil getan.

          Weitere Themen

          Filmstars gegen die AfD Video-Seite öffnen

          Bürgermeisterwahl in Görlitz : Filmstars gegen die AfD

          Am Sonntag wird in einem zweiten Wahlgang in Görlitz der Oberbürgermeister gewählt. Beim ersten Wahlgang am 26. Mai holte AfD-Kandidat Sebastian Wippel mit 36,4 Prozent die meisten Stimmen. Um die Wahl des AfD-Kandidaten zu verhindern, haben Filmgrößen wie Daniel Brühl und Armin Rohde in einem offenen Brief die Wähler ermahnt, "weise" zu wählen.

          Topmeldungen

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.