Programmierer über seinen „Heartbleed“-Bug : „Ein Fehler, keine Beteiligung, kein Zusammenhang“
- -Aktualisiert am
Die Software-Funktion sollte verschlüsselte Verbindungen aufrecht erhalten. Deshalb nannte man sie „Heartbeat“. Der in ihre gefundene gravierende Fehler wurde „Heartbleed“ getauft. Bild: heartbleed.com
Ist die Sicherheitslücke „Heartbleed“ durch einen Programmierfehler entstanden oder möglicherweise bewusst installiert worden? Der Programmierer der Software meldet sich zu Wort.
Die Dimensionen stehen in keinem Verhältnis: „Heartbleed“ ist ein Programmierfehler, der die Sicherheit der Hälfte aller weltweit eingesetzten Webserver in Mitleidenschaft zog. Das betroffene Stück Software ist allerdings so winzig, dass es sich in einer SMS verschicken ließe. In der Zeit des Spähskandals, in der seit zehn Monaten über bewusst herbeigeführte Sicherheitsprobleme im Netz diskutiert wird, liegt die Frage nahe, ob auch im Falle der OpenSSL-Schwäche „Heartbleed“ über Absichten diskutiert werden muss.
Der Rahmen dieser Diskussionen wurde bereits abgesteckt. Im Oktober des vergangenen Jahres formulierte der renommierte Sicherheitsexperte Bruce Schneier die Kriterien von bewusst installierten Hintertüren in Software, die den Anforderungen der Geheimdienste entsprechen: Hintertüren sollten schwer bemerkbar sein, keine Hinweise auf Absichten enthalten und von einzelnen Programmierern betreut werden, ohne das Wissen von weiteren Personen.
So kann man diskutieren
Nachdem in den zurückliegenden Tagen bekanntwurde, dass es sich bei dem Programmierer des von „Heartbleed“ betroffen Softwarestücks um einen deutschen Programmierer handelt, der damals als Student an OpenSSL mitarbeitete und später von T-Systems angestellt wurde, stellte sich die Frage beinah zwangläufig: Darf darüber diskutiert werden, ob „Heartbleed“ eine bewusst installierte Hintertür ist, oder stellt man den betroffenen Programmierer dadurch an den Pranger?
In diese Diskussion griff der Autor der Software am Donnerstag selbst ein. In einer E-Mail an Felix von Leitner, der in der Frankfurter Allgemeinen Zeitung die Problematik erläuterte, schrieb er: „Der Fehler ist ein simpler Programmierfehler gewesen, der im Rahmen eines Forschungsprojektes entstanden ist. T-Systems und BND oder andere Geheimdienste waren zu keiner Zeit beteiligt und zu meiner späteren Anstellung bei T-Systems bestand zu keiner Zeit ein Zusammenhang. Dass T-Systems im RFC genannt wird, liegt an der verspäteten Fertigstellung des RFCs und es ist üblich, den bei der Fertigstellung aktuellen Arbeitgeber anzugeben.“
Die Diskussion kann damit nicht beendet, aber zumindest geführt werden. In einem weiteren aktuellen Fall eines Software-Problems, das dazu führte, dass kein einziges iPhone über eineinhalb Jahre überprüfte, ob sichere Onlineverbindungen auch tatsächlich sicher waren, blieb bis heute unbekannt, wer für den Fehler verantwortlich ist. Das Unternehmen Apple schweigt dazu beharrlich. Zumindest in diesem Punkt hat sich das Open-Source-Prinzip ausgezahlt. Es ist bekannt, mit wem über die aktuelle und akute Unsicherheit im Internet gesprochen werden kann.
