https://www.faz.net/-gsf-7oav2

Programmierer über seinen „Heartbleed“-Bug : „Ein Fehler, keine Beteiligung, kein Zusammenhang“

  • -Aktualisiert am

Die Software-Funktion sollte verschlüsselte Verbindungen aufrecht erhalten. Deshalb nannte man sie „Heartbeat“. Der in ihre gefundene gravierende Fehler wurde „Heartbleed“ getauft. Bild: heartbleed.com

Ist die Sicherheitslücke „Heartbleed“ durch einen Programmierfehler entstanden oder möglicherweise bewusst installiert worden? Der Programmierer der Software meldet sich zu Wort.

          2 Min.

          Die Dimensionen stehen in keinem Verhältnis: „Heartbleed“ ist ein Programmierfehler, der die Sicherheit der Hälfte aller weltweit eingesetzten Webserver in Mitleidenschaft zog. Das betroffene Stück Software ist allerdings so winzig, dass es sich in einer SMS verschicken ließe. In der Zeit des Spähskandals, in der seit zehn Monaten über bewusst herbeigeführte Sicherheitsprobleme im Netz diskutiert wird, liegt die Frage nahe, ob auch im Falle der OpenSSL-Schwäche „Heartbleed“ über Absichten diskutiert werden muss.

          Der Rahmen dieser Diskussionen wurde bereits abgesteckt. Im Oktober des vergangenen Jahres formulierte der renommierte Sicherheitsexperte Bruce Schneier die Kriterien von bewusst installierten Hintertüren in Software, die den Anforderungen der Geheimdienste entsprechen: Hintertüren sollten schwer bemerkbar sein, keine Hinweise auf Absichten enthalten und von einzelnen Programmierern betreut werden, ohne das Wissen von weiteren Personen.

          So kann man diskutieren

          Nachdem in den zurückliegenden Tagen bekanntwurde, dass es sich bei dem Programmierer des von „Heartbleed“ betroffen Softwarestücks um einen deutschen Programmierer handelt, der damals als Student an OpenSSL mitarbeitete und später von T-Systems angestellt wurde, stellte sich die Frage beinah zwangläufig: Darf darüber diskutiert werden, ob „Heartbleed“ eine bewusst installierte Hintertür ist, oder stellt man den betroffenen Programmierer dadurch an den Pranger?

          In diese Diskussion griff der Autor der Software am Donnerstag selbst ein. In einer E-Mail an Felix von Leitner, der in der Frankfurter Allgemeinen Zeitung die Problematik erläuterte, schrieb er: „Der Fehler ist ein simpler Programmierfehler gewesen, der im Rahmen eines Forschungsprojektes entstanden ist. T-Systems und BND oder andere Geheimdienste waren zu keiner Zeit beteiligt und zu meiner späteren Anstellung bei T-Systems bestand zu keiner Zeit ein Zusammenhang. Dass T-Systems im RFC genannt wird, liegt an der verspäteten Fertigstellung des RFCs und es ist üblich, den bei der Fertigstellung aktuellen Arbeitgeber anzugeben.“

          Die Diskussion kann damit nicht beendet, aber zumindest geführt werden. In einem weiteren aktuellen Fall eines Software-Problems, das dazu führte, dass kein einziges iPhone über eineinhalb Jahre überprüfte, ob sichere Onlineverbindungen auch tatsächlich sicher waren, blieb bis heute unbekannt, wer für den Fehler verantwortlich ist. Das Unternehmen Apple schweigt dazu beharrlich. Zumindest in diesem Punkt hat sich das Open-Source-Prinzip ausgezahlt. Es ist bekannt, mit wem über die aktuelle und akute Unsicherheit im Internet gesprochen werden kann.

          Weitere Themen

          Topmeldungen

          Auf Googles Quantenprozessor Sycamore sitzen 53 miteinander verdrahtete Quantenresonatoren. Jeder einzelne stellt ein Quantenbit dar, das zwei Zustände gleichzeitig annehmen kann.

          Quantenrechner „Sycamore“ : 1:0 für Googles Quantencomputer

          Der Internetriese Google hat einen Quantenprozessor präsentiert, der alle Rekorde bricht. Er löst innerhalb von Minuten ein komplexes Problem, das sogar den schnellsten Supercomputer überfordert.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.