https://www.faz.net/-gsf-7oav2

Programmierer über seinen „Heartbleed“-Bug : „Ein Fehler, keine Beteiligung, kein Zusammenhang“

  • -Aktualisiert am

Die Software-Funktion sollte verschlüsselte Verbindungen aufrecht erhalten. Deshalb nannte man sie „Heartbeat“. Der in ihre gefundene gravierende Fehler wurde „Heartbleed“ getauft. Bild: heartbleed.com

Ist die Sicherheitslücke „Heartbleed“ durch einen Programmierfehler entstanden oder möglicherweise bewusst installiert worden? Der Programmierer der Software meldet sich zu Wort.

          2 Min.

          Die Dimensionen stehen in keinem Verhältnis: „Heartbleed“ ist ein Programmierfehler, der die Sicherheit der Hälfte aller weltweit eingesetzten Webserver in Mitleidenschaft zog. Das betroffene Stück Software ist allerdings so winzig, dass es sich in einer SMS verschicken ließe. In der Zeit des Spähskandals, in der seit zehn Monaten über bewusst herbeigeführte Sicherheitsprobleme im Netz diskutiert wird, liegt die Frage nahe, ob auch im Falle der OpenSSL-Schwäche „Heartbleed“ über Absichten diskutiert werden muss.

          Der Rahmen dieser Diskussionen wurde bereits abgesteckt. Im Oktober des vergangenen Jahres formulierte der renommierte Sicherheitsexperte Bruce Schneier die Kriterien von bewusst installierten Hintertüren in Software, die den Anforderungen der Geheimdienste entsprechen: Hintertüren sollten schwer bemerkbar sein, keine Hinweise auf Absichten enthalten und von einzelnen Programmierern betreut werden, ohne das Wissen von weiteren Personen.

          So kann man diskutieren

          Nachdem in den zurückliegenden Tagen bekanntwurde, dass es sich bei dem Programmierer des von „Heartbleed“ betroffen Softwarestücks um einen deutschen Programmierer handelt, der damals als Student an OpenSSL mitarbeitete und später von T-Systems angestellt wurde, stellte sich die Frage beinah zwangläufig: Darf darüber diskutiert werden, ob „Heartbleed“ eine bewusst installierte Hintertür ist, oder stellt man den betroffenen Programmierer dadurch an den Pranger?

          In diese Diskussion griff der Autor der Software am Donnerstag selbst ein. In einer E-Mail an Felix von Leitner, der in der Frankfurter Allgemeinen Zeitung die Problematik erläuterte, schrieb er: „Der Fehler ist ein simpler Programmierfehler gewesen, der im Rahmen eines Forschungsprojektes entstanden ist. T-Systems und BND oder andere Geheimdienste waren zu keiner Zeit beteiligt und zu meiner späteren Anstellung bei T-Systems bestand zu keiner Zeit ein Zusammenhang. Dass T-Systems im RFC genannt wird, liegt an der verspäteten Fertigstellung des RFCs und es ist üblich, den bei der Fertigstellung aktuellen Arbeitgeber anzugeben.“

          Die Diskussion kann damit nicht beendet, aber zumindest geführt werden. In einem weiteren aktuellen Fall eines Software-Problems, das dazu führte, dass kein einziges iPhone über eineinhalb Jahre überprüfte, ob sichere Onlineverbindungen auch tatsächlich sicher waren, blieb bis heute unbekannt, wer für den Fehler verantwortlich ist. Das Unternehmen Apple schweigt dazu beharrlich. Zumindest in diesem Punkt hat sich das Open-Source-Prinzip ausgezahlt. Es ist bekannt, mit wem über die aktuelle und akute Unsicherheit im Internet gesprochen werden kann.

          Weitere Themen

          Zweierlei Urkatastrophe

          FAZ Plus Artikel: Schoa und Nakba : Zweierlei Urkatastrophe

          Wenn Palästinenser auf die Schoa angesprochen werden, bringen sie oft die Nakba zur Sprache, die Vertreibungen im Zusammenhang mit der Staatsgründung Israels. Für einen israelischen Holocaustforscher und einen palästinensischen Politikwissenschaftler war das der Anstoß, ein Konzept des Dialogs über die nationalen Traumata zu entwickeln.

          Topmeldungen

          Durch ein neues Missbrauchsgutachten schwer belastet: der damalige Papst, Benedikt XVI., am 17. Oktober 2005 im Petersdom im Vatikan

          Missbrauch im Erzbistum München : Die Lüge Benedikts

          Ein Gutachten über sexuellen Missbrauch im Erzbistum München belastet den emeritierten Papst. Fragen wirft vor allem ein Sitzungsprotokoll aus dem Jahr 1980 auf.
          Die Bildschirmoberfläche eines Computers und eines Mobiltelefons zeigen das Logo des Video-Streamingdienstes Netflix

          Streamingdienste : Netflix enttäuscht mit Ausblick

          Der Videodienst gibt eine vorsichtige Prognose – trotz Erfolgsproduktionen wie „Don’t Look Up“ und „Squid Game“. Holt ihn der Wettbewerb ein?